악성코드 개론

악성코드 종류

- 바이러스 : 시스템 및 파일을 감염시켜 바이러스 코드를 실행하도록 하는 형태로 감염.

- 웜 : 자기자신을 네트워크, 이동식디스크 등을 통해 전파. 감염된 이동식디스크만으로 전체 네트워크가 감염될 수 있다.

- 트로이 목마 : 정상프로그램을 가장해 사용자의 PC에 설치되어 개인정보 유출, 제작자의 명령을 실행하여 공격.

- 다운로더 : 다운로드를 실행하면 웹페이지등에서 악성코드를 다운받아 악성코드를 다운.

- 드롭퍼 : 하나의 파일안에 다른파일을 넣어두어 실행시 다른파일들(악성코드)을 실행시킬 수 있다.

- 인젝터 : 정상프로세스에 악의적인 역할을 수행할 코드 또는 DLL파일을 추가해서 악성코드를 동작하는 형태.

- 키로거 : 사용자의 키보드 입력값을 모니터링하여 외부로 전송하는 역할을 수행.

- 루트킷 : 윈도우즈 시스템 내부를 조작하여 악성코드 프로세스, 레지스트리 등을 은폐시켜주는 역할을 수행.

- 스파이웨어 : 사용자의 동의 없이 컴퓨터에 설치되어, 사용자의 웹페이지 방문 정보 등을 전송 및 광고를 보여줌.

- 조커 : 화면에 그림등을 나타내어 사용자를 놀래키는 행동만 한다.

 

레지스트리 데이터 타입

- REG_SZ : 고정된 길이의 유니코드 문자열 파일이름, 경로, 타입, 이름 드으이 문자열을 저장.

- REG_BINARY : 임의의 길이의 바이너리 데이터 32비트 이상의 숫자 또는 데이터(암호화된 패스워드 등)를 저장.

- REG_DWORD : 32비트 숫자 특정 숫자 또는 on/off  역할을 하는 값을 저장한다.

 

레지스트리 논리적 구조

- HKCU : 현재 로그인한 사용자에 관한 설정이 저장. 서브키로 저장되는 내용은 사운드, 윈도우 크기, 화면보호기, 키보드 및 마우스 설정, 프린트 설정 등 각 개개인의 설정사항들이 저장되는 곳.

- HKU : 시스템에 등록된 모든 사용자에 대한 설정을 저장.

- HKCR : 파일 확장자와 COM 객체의 등록을 저장. 특정 확장자의 서브키를 삭제하면 해당 확장자를 가진 프로그램이 실행되지 않는 현상이 발생.

- HKLM : 시스템 전반에 관련된 설정을 저장하는 곳. 저장정보 : 하드웨어 정보, 사용자 정보, 그룹정보(관리자도 못봄), 보안 정책(관리자도 못봄), 프로그램 정보, 시스템 부팅에 필요한 정보.

- HKPD : 운영체제의 요소 혹은 서버 프로그램의 성능에 대한 정보

- HKCC : 현재 하드웨어 정보가 저장.

 

악성코드가 주로 사용하는 레지스트리 키

1. 자동 실행관련 키

- 사용자가 로그인시 자동으로 프로그램을 실행하는 키

- 윈도우즈 서비스로 등록하여 윈도우즈가 부팅되면 자동으로 실행되는 키

- 인터넷 익스플로어 및 탐색기가 실행될 떄 마다 실행되는 DLL

 

2. 탐색기 옵션 관련 키

- 레지스트리의 checked값을 조작

- 사용자의 설정 값과 상관없이 항상 숨김 속성 파일

- 보호된 운영 체제 파일 숨기기 옵션 무력화 시키는 키

- 탐색기의 폴더 옵션 메뉴를 나타나지 않게 하는 키

 

3. 레지스트리 편집기 및 작업 관리자를 실행 불가 키

- 레지스트리 편집기를 실행 못하도록 하는 키