Transcript 레지스트리 모니터 도구 – Regmon (1)

http://www.iblue.kr
http://boanproject.com
레지스트리 모니터링도구
Regmon.exe
작성자 : Taek-Hyeon Lee
레지스트리 모니터 도구 – Regmon (1)
□ 개요
-
Regmon 레지스트리 레지스트리 모니터링 도구로 Mark Russinovich and Bryce Cogswell 개발 (regmon435 버전은 소스코드 공개)
기존 레지스트리를 확인하는 Regedt32 혹은 regedit 도구는 레지스트리 변화 확인이 어려웠으나, regmon 도구로 변화 확인이 가능하다.
레지스트리 모니터링은 프로세스, 등록시간을 기준으로 분석하는 것이 가능함
간단한 필터링 규칙을 이용하여 필요 없는 정보를 제거할 수 있다
필드
ID
Time
설명
처음 탐지 이벤트 번호. #1번으로 시작하여 순차적으로 증가
이벤트 발생 시간 표시. 표현방식 변경가능 [Options]-[Clock Time], [Show Milliseconds]
Process
프로세스 이름 표시
Request
프로세스 행위 유형.
’QueryValue’, ’OpenKey’, ’Closekey’, ’SetValue’, ‘EnumerateKey’, ‘DeleteKey’
Path
요청한 레지스트리 경로
Result
레지스트리 요청 결과를 리턴 함 ‘SUCCESS’, ‘NOTFOUND’
Other
레지스트리 요청 응답 데이터. “스트링“, DWORDs, HKEYs, Block of hex digits
참고 : http://anselmo.homeunix.net/ebooks/mwin2reg/ch09-18794.html
레지스트리 모니터 도구 – Regmon (2)
□ 개요
[File] – [Save AS]
- 모니터링 결과 저장 분석
[File] – [Process Properties]
- 모니터링 프로세스 속성확인
참고 : http://anselmo.homeunix.net/ebooks/mwin2reg/ch09-18794.html
레지스트리 모니터 도구 – Regmon (3)
□ 개요
[File] – [Include Process, Exclude Process]
- 현재 선택한 이벤트 기준 “포함 / 비포함 프로세스”
[File] – [Include Path, Exclude Path]
- 현재 선택한 이벤트 기준 “포함 경로/ 비포함 경로”
[File] – [Regedit Jump]
- 캡쳐한 레지스트리 경로로 이동
참고 : http://anselmo.homeunix.net/ebooks/mwin2reg/ch09-18794.html
레지스트리 모니터 도구 – Regmon (4)
□ 개요
[Options] – [Filter/Hightlight]
- 필터링 설정 :
- include : 포함프로세스, Exclude : 비 포함 프로세스, Hightlight : 하이라이트 프로세스
[Options] – [Show Milliseconds, ClockTime]
- 이벤트 시간정보 표시
[Options] – [Log Boot]
-
참고 : http://anselmo.homeunix.net/ebooks/mwin2reg/ch09-18794.html