[펌] RegScanner

Software/Utility 2012. 11. 28. 09:42

출처: http://wooica.tistory.com/5


RegScanner란? Nir sofer에서 만든 레지스트리 검색 및 백업할 수 있는 프로그램입니다. 제작사의 홈

페이지인 http://www.nirsoft.net/ 에서 다운로드가 가능하며 따로 설치가 필요 없습니다. 한글 언어팩을 제공합니다. RegScanner.exe를 실행하면 됩니다. 구동 시 일단 레지스트리 검색옵션 창이 뜹니다. 필자는 언어팩을 설치하여 한글로 나옵니다. 1.77버전을 기본으로 설명하겠습니다.

EMB00001b644d1c

 

1. 레지스트리 검색 옵션

 

레지스트리 검색 옵션에 대해 간략하게 설명하겠습니다.

 

- 베이스 키 : 베이스 키는 입력한 경로를 기본으로 하여 그 경로 안에서 레지스트리를 검색합니다.

- 찾을 문자열 : 입력한 문자열이 들어가 있는 레지스트리를 찾습니다.

- 일치 : 입력한 문자열의 검색조건을 설정할 수 있습니다.

 

EMB00001b644d1d

 

- 찾을 항목 : 입력한 문자열의 찾을 항목을 선택할 수 있습니다. 체크하면 그 항목 검색, 해제하면 검 색을 안 합니다.

- 표시할 항목 수 : 검색 후 표시할 항목의 최대개수를 설정합니다.

- 아래 시간범위내의 내에 수정된 키만 표시 : 체크하면 설정한 시간 내의 키 값만 표시합니다.

- 아래 길이 범위의 데이터만 표시 : 체크하면 설정한 바이트내의 키 값만 표시합니다.

- 아래 형식의 값만 표시 : 체크하면 선택된 형식의 값만 표시합니다.

- 아래의 베이스 키에서 검색 : 체크하면 선택된 베이스 키에서만 검색합니다. 해제 시 상단의 베이스 키 검색 옵션이 활성화되 따로 지정할 수 있습니다.

- 검색 중 찾은 항목 바로 표시 : 검색 중 찾은 항목을 바로 표시합니다. 체크 해제 시 검색 완료 후 표시합니다.

 

1-1. 찾을 문자열을 입력 후 검색을 누르면 다음과 같이 검색된 결과가 화면에 표시됩니다.

 

EMB00001b644d23

 

각 항목을 설명하면 다음과 같습니다.

 

- 레지스트리 키 : 레지스트리의 키 값을 표시합니다.

- 이름 : 레지스트리에 이름을 표시합니다.

- 형식 : 레지스트리의 형식을 표시합니다. 자세한 형식은 밑에서 다루겠습니다.

- 데이터 : 레지스트리의 데이터 값을 나타냅니다.

- 키 수정 시간 : 키를 수정한 시간을 나타냅니다.

- 데이터 길이 : 레지스트리의 데이터 값의 길이를 나타냅니다.

 

1-2. 레지스트리 형식에 대해 말해보겠습니다.

 

이름

데이터 형식

설명

이진값

REG_BINARY

원시 이진 데이터. 대부분의 하드웨어 구성 요소 정보는 이진 데이터로 저장되고 16진수 형식으로 레지스트리 편집기에 표시됩니다.

DWORD값

REG_DWORD

4 바이트 길이의 수(32비트 정수)로 표현되는 데이터. 장치 드라이버와 서비스의 많은 매개 변수가 이 형식으로 되어 있으며 레지스트리 편집기에 이진, 16진수 또는 10진수 형식으로 표시됩니다. 관련 값은 DWORD_LITTLE_ENDIAN(중요도가 가장 적은 바이트가 최하위 주소에 있음)과

REG_DWORD_BIG_ENDIAN(중요도가 가장 적은 바이트가 최상위 주소에 있음)입니다.

확장 가능한 문자열 값

REG_EXPAND_SZ

변동 길이 데이터 문자열. 이 데이터 형식에는 프로그램이나 서비스가 데이터를 사용할 때 확인되는 변수가 포함됩니다.

다중 문자열 값

REG_MULTI_SZ

다중 문자열. 사용자들이 읽을 수 있는 형식으로 된 여러 값이나 목록이 포함된 값은 일반적으로 이 형식으로 되어 있습니다. 항목은 공백, 쉼표나 다른 기호로 구분됩니다.

문자열 값

REG_SZ

고정 길이 텍스트 문자열

이진값

REG_RESOURCE_LIST

하 드웨어 장치 드라이버나 이 드라이버가 제어하는 물리 장치 중 하나에서 사용하는 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 이 데이터를 감지하여 \ResourceMap 트리에 씁니다. 이 값은 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.

이진값

REG_RESOURCE_REQUIREMENTS_LIST

장 치 드라이버나 이 드라이버가 제어하는 물리 장치 중 하나에서 사용할 수 있는 장치 드라이버의 가능한 하드웨어 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 \ResourceMap 트리로 이 목록의 하위 집합을 씁니다. 이 데이터는 시스템에 의해 감지되며 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.

이진값

REG_FULL_RESOURCE_DESCRIPTOR

물 리 하드웨어 장치에서 사용하는 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 이 데이터를 감지하여 \HardwareDescription 트리에 씁니다. 이 값은 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.

없음

REG_NONE

특정한 형식이 없는 데이터. 이 데이터는 시스템과 응용 프로그램에 의해 레지스트리에 쓰여지며 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.

링크

REG_LINK

심볼 링크의 이름을 지정하는 유니코드 문자열

OWORD값

REG_QWORD

64비트 정수로 표현되는 데이터. 이 데이터는 레지스트리 편집기에 이진값으로 표시되며 Windows 2000에 도입되었습니다.

 

2. RegScanner의 메뉴

 

RegScanner의 각 메뉴에 대해 간략하게 설명하겠습니다.

 

2-1. [파일]

 

- 새 검색 : 새로 검색을 시작합니다.

- 설정을 파일에 저장 : RegScanner의 현재 설정을 파일로 저장합니다.

- 파일에서 설정 불러오기 : 저장된 RegScanner의 설정을 불러옵니다.

- 선택 항목 내보내기 : 선택한 항목의 레지스트리 키(*.reg)를 따로 저장합니다.

- 삭제 레지스트리 파일 만들기 : 선택한 값을 삭제하는 레지스트리 값을 삭제하는 파일을 만듭니다. 파일을 실행 시 만들 때 선택 되었던 레지스트리를 컴퓨터에서 삭제합니다.

- 선택 항목 저장 : 선택한 항목을 텍스트파일로 저장합니다.

- 레지스트리 편집기로 열기 : 선택한 항목을 레지스트리 편집기로 엽니다.

- 복사한 항목을 레지스트리 편집기로 열기 : [편집]메뉴에서 복사한 레지스트리를 편집기로 엽니다.

- 속성 : 선택한 레지스트리의 속성을 표시 합니다

 

EMB00001b644d22

 

- ‘Reg:' 링크 사용 : 체크하면 Html파일처럼 (reg:레지스트리 키 값)형식을 하시면 클릭 시

RegScanner로 해당 레지스트리를 바로 검색합니다. 예를 들면 다음과 같습니다.

예) reg:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

이렇게 하시면 웹상에서 클릭 시 RegScanner로 해당 레지스트리를 바로 검색합니다.

- 끝내기 : RegScanner을 종료합니다.

 

2-2. [편집]

 

- 찾기 : 검색된 레지스트리 항목 중에서 입력한 문자열을 검색합니다.

- 선택 항목 복사 : 선택한 레지스트리 항목을 복사합니다.

 

EMB00001b644d21

 

- 레지스트리 키 복사 : 선택한 레지스트리 키를 복사합니다.

- 전체선택, 전체선택 취소 : 검색된 항목을 전체선택하거나 취소 할 수 있습니다.

 

2-3. [보기]

- 구분선 보기 : 체크하면 레지스트리 키 값 사이를 구분하는 구분선을 표시합니다.

- 툴팁 보기 : 체크하면 툴팁을 보여줍니다.

- HTML보고서-모든 항목 : 검색된 레지스트리의 항목을 HTML보고서 형식으로 새 창에 표시합니다.

 

EMB00001b644d20

 

- HTML보고서-선택한 항목 : 선택한 레지스트리의 항목을 HTML보고서 형식으로 새 창에 표시합니다.

- 열 선택 : 화면에 보여 지는 항목을 수정할 수 있습니다.

- 열 너비 자동 맞춤 : 화면에 보여 지는 항목의 열 너비를 자동으로 맞춥니다.

 

2-4. 개체에 대한 메뉴.

 

레지스트리를 선택한 마우스 오른쪽 버튼을 누르면 다음과 같은 메뉴가 나옵니다. 위에서 언급한 기능을 실행합니다.

 

EMB00001b644d1f

 

3. 보안에서의 RegScanner의 활용

악 성프로그램의 완벽한 제거를 위해서는 악성프로그램의 레지스트리까지 제거를 해야 합니다. 보통 악성프로그램의 경우 자신의 레지스트리를 일반적인 레지스트리 편집기로는 검색조차 안 되게 막는 경우가 있고, 사람이 일일이 모든 레지스트리 경로 값을 돌아다니며, 특정 레지스트리 키 값을 찾기란 여간 힘든게 아닙니다. 이러한 불편한 점을 RegScanner를 활용하여 손쉽게 해결 할 수 있습니다. 또, 악성코드의 배포지를 추적하거나, 언제 컴퓨터에서 활동을 시작했는지 알기 위해서는 프로그램의 생성시간을 알아야 합니다. 이러한 생성시간은 레지스트리 생성시간과 동일하므로 레지스트리를 통해서 알아 낼 수 있습니다.

 

4. RegScanner에 대한 간략한 매뉴얼 이었습니다. 레지스트리에 대한 자세한 정보는 마이크로소프트사의 기술 자료의 다음 문서를 참조하시면 됩니다.

256986 (http://support.microsoft.com/kb/256986/ ) Microsoft Windows 레지스트리 설명

프로그램의 다른 설명의 경우 제작사의 홈페이지인 http://www.nirsoft.net/ 에서 확인이 가능합니다.

'Software > Utility' 카테고리의 다른 글

Picasa(피카사)에서 mp4 파일이 보이지 않을 때  (3) 2012.12.05
[펌] Autoruns  (0) 2012.11.28
[펌] TCP View  (0) 2012.11.28
Posted by 세모아
,