레지스트리를 조사하다 보면 조금 이상한 키가 나온다. 바로 HKLM\SECURITY 키이다. 분명히 빈 키이지만 XP나 비스타를 설치하면 항상 생성된다. 내보내기를 하면 내보낼 것이 없다는 메시지를 띄우고 삭제를 하려고 하면 그림처럼 절대 삭제할 수 없다고 약을 올린다.



이 키는 어떤 용도로 쓰이는 키일까?

얼마전 신문에까지 나고 이슈화됐던 문제가 루트킷이었다. 루트킷은 사용자 모드가 아니라 커널 모드에서 동작, 실행중인 프로세스나 파일을 찾는 소프트웨어를 말한다. 그러나 최근 이러한 루트킷이 악성 프로그램이 자신을 숨기기위해 사용됨으로서 루트킷 문제가 불거졌다.

필자가 예전에 쓴 팁, 사례분석을 통해 배우는 스파웨어 판정(I, II, III, IV)을 보면 알 수 있지만 이런 악성 프로그램은 반드시 실행 코드를 가지고 있어야 한다. 그래서 대부분의 악성 소프트웨어 제거 도구는 실행 코드를 찾기위해 레지스트리를 검색한다. 문제는 레지스트리에도 사용자 모드에서는 접근할 수 없는 숨은 키가 있다는 점이다. 따라서 RootkitRevealer 나 처럼 레지스트리를 검색, 루트킷을 찾아주는 프로그램도 있고 루트킷을 심는 것을 막기위해 실행되는 모든 프로세스의 파일을 감시하는 AntiHook 과 같은 프로그램도 있다.

오늘 필자가 소개하는 Registrar Registry Manager는 일종의 레지스트리 관리 종합 프로그램이다. 다만 이 프로그램을 루트킷과 함께 소개하는 이유는 바로 악성 소프트웨어가 루트킷을 실행할 때 많이 사용하는 숨은 레지스트리까지 찾을 수 있기 때문이다.

이 프로그램은 기본적으로 레지스트리 편집기, 레지스트리 비교 도구, CLSID 참조 도구, 파일 참조 도구, 레지스트리 조각 모음, 레지스트리 감시기를 포함하고 있다. 또한 부가적인 기능으로 숨은 키를 찾을 수 있으며, 원격 레지스트리도 편집할 수 있다. 또한 레지스트리 편집기에 포함된 백업 기능은 시스템 복구 기법 I - 레지스트리 하이브의 백업과 복구에서 설명한 ERUNT의 기능을 대체할 만 하다.

내려받기

1. Resplendence Software
2. Registrar Registry Manager
3. Free Downloads and Trials
4. rrtri.exe

참고로 Registrar Registry Manager를 개발한 회사는 필자가 예전에 소개한 강력한 감시 도구, Multimon을 개발한 회사이다.

Registrar Registry Manager에서 지원하는 기본적인 기능은 다음과 같다. 각각에 대한 자세한 사용법은 별도의 팁으로 올리도록 하겠다.

레지스트리 편집기

말 그대로 레지스트리 편집기이다. XP의 내장된 레지스트리 편집기가 지원하는 기능을 모두 지원하며, 추가적으로 레지스트리 하이브의 백업과 복구를 지원한다. 덧 붙여 설명하면 이 기능외에 REG 파일을 편집할 수 있는 기능(damibasia님이 요청한 기능), 바꾸기를 지원하는 검색 기능, 레지스트리 키를 입력하면 해당 레지스트리로 이동하는 주소 표시줄 기능, 자주 사용하는 레지스트리를 등록해 두는 레지스트리 책갈피 기능도 지원한다.

그림은 HKLM\SECURITY를 Registrar Registry Manager로 연 화면이다. 그림에서 알 수 있지만 내장된 레지스트리로는 볼 수 없는 상당히 많은 키가 등록되어 있다. 아울러 레지스트리를 조사해보면 알 수 있지만 OS에서 사용되는 보안 관련 정책이 이 키에 등록되어 있는 것을 알 수 있다.

레지스트리 비교

두개의 레지스트리의 변경점을 비교할 수 있는 레지스트리 비교 기능을 제공한다. Active Registry Monitor 이나 Regshot과 비슷할 것 같지만 조금 다르다. 더 자세한 내용은 다음 팁에서 설명하도록 하겠다.

CLSID 참조 도구

레지스트리에 등록된 모든 CLSID들 찾아 각각의 CLISD와 파일, 등록한 회사의 정보를 표시한다. 별 쓸모없는 기능같지만 하나의 화면에 각 CLSID의 이름, 사용하는 DLL, 파일 설명을 볼 수 있기 때문에 레지스트리를 정리할 때에나 CLSID의 문제를 해결할 때에는 상당히 유용하다.

파일 참조 편집기

CLSID 참조 도구와 비슷하다. 검색 조건에 따라 레지스트리에 등록된 파일/폴더가 실제 존재하는지를 검사한다. 파일의 이름 및 경로, 제조사, 설명, 레지스트리의 위치를 확인할 수 있기 때문에 레지스트리를 정리할 때 상당히 유용한 도구이다.

레지스트리 조각 모음

NTREGOPT 처럼 레지스트리를 조각 모음하는 기능도 지원한다. 레지스트리 조각 모음이 왜 필요한 지는 공개 레지스트리 최적화 유틸리티, NTREGOPT을 보기 바란다.

레지스트리 감시기

거의 모든 프로그램은 실해하기위해 레지스트리를 참조하며, 필요한 경우 레지스트리에 정보를 기록한다. 이러한 레지스트리의 활동 사항을 감시한다. Sysinternals.com 의 Regmon 과 비슷하며, 필자가 예전에 소개한 Multimon의 레지스트리 감시 기능과도 비슷한 기능이다.

숨은 레지스트리 찾기

필자가 가장 매력있게 본 기능이다. 다른 도구로 지원하지는 않지만 검색 기능에서 사용할 수 있다. 다만 모든 숨은 레지스트리가 루트킷을 실행하는데에 사용되는 것은 아니기 때문에 숨은 레지스트리를 무턱대고 지워서는 안된다.

레지스트리 하이브의 백업 및 복구

레지스트리 하이브를 수동으로 특정 폴더에 백업할 수 있다. 마치 시스템 복구 기법 I - 레지스트리 하이브의 백업과 복구에서 설명한 ERUNT를 사용하는 것과 비슷하다. 이렇게 백업된 레지스트리는 Registrar Registry Manager를 이용해서 복구할 수 있으며, 시스템 복구 기법 I을 이용해서도 복구할 수 있다.

레지스트리 관련 프로그램을 여러 가지 사용해 봤지만 사실 Registrar Registry Manager처럼 만족감을 준 프로그램은 많지 않다. 디자인도 비교적 깔끔하고 기능은 흠잡을 때가 없었다. 비교 기능은 조금 더 확인해봐야 겠지만 조금 아쉬운 감이 있었다.

주의

주1: 아는 분은 게시판에 댓글을 올려 주기 바란다. 물론 이 글의 뒷부분은 읽어서는 안된다.