RegFromApp v1.15
RegFromApp 는 현재 실행되고 있는 프로세스 또는 사용자가
선택한 어플리케이션이 실행되었을 때 레지스트리에 어떠한 변화가 생기는가를
표준적인 레그 등록 파일(.reg)를 생성해 보여 주는 프로그램입니다.
이 프로그램의 단점은 변경된 레지스트리를 완벽하게 보여주는 경우가 있고,
잘 보여 주지 못하는 경우가 있는 것으로 보입니다.
그런데 일단 레지스트리 변화를 추적해주는 경우는
(보통 유저들에게도 도움이 되는 경우가 분명히 있겠지만)
저처럼 악성코드를 관찰하는 者 또는
처럼 악성코드를 분석하는 분에게는
도움이 되리라 여겨져 포스팅을 합니다.
포스팅 전 언급 ^ ^
이 프로그램은 전적인 Freeware입니다 .
윈도우2000 이상의 32비트 운영체제만 지원합니다.
아래 프로그램 안내 및 프로그램 다운로드 페이지 링크입니다 .
https://www.nirsoft.net/utils/reg_file_from_application.html
다운로드받은 압축 파일을 해제해 RegFromApp.exe를 실행하면 프로그램이 실행됩니다.
RegFromApp는 설치가 필요 없는 무설치형 프로그램입니다.
실행하면 다음과 같이 뜨는데 이때 앞의 창에 현재 시스템에 실행 중인 프로세스가 나타나고
이들 중 택하여 레지스트리 변화 분석을 해 볼 수 있습니다.
현재 실행 중인 프로세스에서 레지스트리 분석을 원하지 않는다면
Cancel을 누르고 메인창으로 들어갑니다.
위 그림에 보이는 메인 창에서 빨간 박스 친 부분을 클릭해서
새로운 실행 파일을 고를 수 있습니다.
이때, 아래쪽 초록색 박스에 체크를 하면 선택한 파일 실행시 곧바로 레지스트리 추적이 시작되어
창에 표시되고
체크를 안하면 선택한 파일의 실행이 완료되었을 때,
자동으로 레지스트리 변화가 표시가 됩니다.
완료 시 레지스트리 변화 표시는 프로그램 설치 시 레지스트리 변경 추적에도 유효할 것입니다 .
아래는 추적이 끝난 결과입니다.
참고 : gldx.exe는 트로이쟌입니다.
모두에 이 프로그램의 단점으로 레지스트리 변화를 잘 보여 주지 못하는 경우를 언급했습니다.
주로 인터넷에 접속하려는 다운로더류에서는 레지스트리 추적이 용이하지 않아 보입니다.
그 이유는 다운로더는 인터넷에 접속해 원하는 바를 달성해야 프로세스의 끝이니까요.....
물론 추적하고자 하는 다운로더류의 인터넷 접속을 시도되는데로 다 허용해 주고
오래 기다리면 추적이 완료될 수 있으나 이는 바람직해 보이지 않는 경우입니다.
그런데 이런 경우도 앞서 언급한 초록색 박스에 체크를 한 경우는
레지스트리 추적중인 실행 파일을 중단시킬 때까지의 레지스트리 추적은 가능합니다.
'프로그램 리뷰' 카테고리의 다른 글
| Rootkit Buster (0) | 2009.04.04 |
|---|---|
| My Uninstaller (0) | 2009.04.02 |
| ThreatFire - 행동 기반 악성코드 진단 도구 (0) | 2009.03.29 |
| 파이어폭스 ( Firefox ) (0) | 2009.03.26 |
| Google chrome(구글 크롬) - 가장 가벼운 웹 브라우저 (5) | 2009.03.20 |
| HashMyFiles v1.43 - Calculate MD5/SHA1/CRC32 (0) | 2009.03.17 |
| Startup Manager (2) | 2009.03.15 |
| SDelete - 파일 완전 삭제 (6) | 2009.03.06 |
댓글