'레지스트리'에 해당되는 글 17건

  1. 2014.09.11 Windows Registry Recovery (1)
  2. 2014.05.13 NSIS로 64비트용 설치파일 만들때 팁
  3. 2014.05.09 윈도우7 사용자 계정(SID)과 레지스트리
2014.09.11 14:52

Windows Registry Recovery


This application allows to read files containing Windows 9x,NT,2K,XP,2K3 registry hives. It extracts many useful information about configuration and windows installation settings of host machine. 
Registry hive can be exported into REGEDIT4 format. 
Every topic data can be saved to CSV.
It's designed in Multiple Document Interface. 

Here are described individual explorers:

  • File Information 
    In this explorer you can see basic file properties and checksums. 
  • Security Record Explorer 
    Displays all security records used in registry. Usage counter, owner SID, group SID, list of affected keys and list of SACL and DACL is displayed for every record with flags and permissions enumerated. This explorer is available only for NT based system registry hives. 
  • SAM 
    Displays Machine SID and part of SYSKEY. Enumerates local user and group accounts and some of their properties. This explorer is available only for NT based system registry SAM hive. 
  • Windows Instalation 
    Displays Windows name, ID and key, install date and user registration info. Enumerates installed software with descriptions and install date and list of installed hotfixes wih description. This explorer is available only SOFTWARE registry hive (Product ID and key are extracted in SYSTEM hive too). 
  • Hardware 
    Displays quick overview (CPU, Monitors, Video and Sound card and Network cards) and full device map of configured devices that worked on host machine. They are displayed in "like Device Manager" tree with some properties. This explorer is available for SYSTEM registry hive. 
  • User Data 
    Displays user and machine name and tree based Start menu for selected USER hive. This explorer is available for USER registry hive. 
  • Startup Applications 
    Enumerates applications that are registered to be run after startup. This explorer is available for SOFTWARE registry hive. 
  • Services and Drivers 
    Enumerates all installed services and drivers with properties. This explorer is available only for NT based system registry SYSTEM hive. 
  • Network Configuration 
    Displays all installed network clients, protocols and services. Enumerates all defined network connections with its TCP/IP configuration. This explorer is available only for NT based system registry SYSTEM hive. 
  • Windows Firewall Settings 
    Displays settings (rules) for Windows Firewall. This explorer is available only for NT based system registry SYSTEM hive. 
  • Environment 
    Displays all environment variables. This explorer is available only for NT based system registry SYSTEM hive. 
  • Shell Folders 
    Displays shell folders (folders known to system). This explorer is available only for NT based system registry SYSTEM hive. 
  • Outlook Express 
    Digs out all Outlook Express accounts and their settings. This explorer is available only for NT based system registry USER hive. 
  • Raw Data 
    This explorer displays whole registry in known tree format. Contains powerful searching and data interpreter. 

Target platforms
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows Server 2008
Windows Server 2008 R2


Licence

Free to use for both private and commercial users.




출처 : mitec.cz


Trackback 0 Comment 1
  1. Favicon of https://blog.pages.kr 날으는물고기 2014.09.12 09:29 address edit & del reply

    이용약관위배로 관리자 삭제된 댓글입니다.

2014.05.13 18:46

NSIS로 64비트용 설치파일 만들때 팁

64비트용 프로그램을 만드셨습니까? NSIS 로 설치파일을 만드려고 하시나요?

이럴때 유용한 팁을 소개합니다.



1. UNICODE NSIS 설치 : http://www.scratchpaper.com/ 

WIN95/98 을 지원하지 않는다고 할때 UNICODE NSIS 를 사용하면 설치파일의 다국어 지원등에

매우 유리합니다. 물론 64비트 OS 는 전부 유니코드 지원 OS 죠. 


2. Program files 폴더

nsis 에서 program files 폴더 변수는 $PROGRAMFILES 입니다. 

그런데 64비트 os 에서는 $PROGRAMFILES 는 program files (x86) 이 되어 버리죠.

64비트용 프로그램을 program files 에 설치하고 싶으면 $PROGRAMFILES64 사용하면 됩니다.

$PROGRAMFILES64 변수는 32비트 os 에서도 program files 입니다.


3. 레지스트리 접근

64비트 os 는 32비트용 프로그램이 직접적으로 64비트 os 용 레지스트리에 접근하는걸 막습니다.

마찬가지로 nsis 스크립트의 설치파일도 그냥 쓰면 64비트용 레지스트리에 접근이 안되기 때문에

64비트용 레지스트리에 접근하기 위해서는 

Code:
SetRegView   64


를 써 줘야만 합니다.


4. 런타임에 64비트 os 여부 확인 

32비트 바이너리와 64비트 바이너리를 한 설치파일에 집어넣고자 할 경우가 있습니다.

이런 경우 런타임에 현재 os 가 64 비트인지 아닌지 확인하려면 다음과 같은 방식으로 코드를 사용하면 됩니다.

Code:
   ; 64비트 여부 체크하기   
   System::Call "kernel32::GetCurrentProcess() i .s"
   System::Call "kernel32::IsWow64Process(i s, *i .r0)"
   StrCmp $0 '0' Win32 Win64
   Win32:
      File /oname=name.exe  name32.exe
      Goto EndCheck
   Win64:
      File /oname=name.exe  name64.exe
   EndCheck:




출처 : 독립 개발자 네트워크


Trackback 0 Comment 0
2014.05.09 16:19

윈도우7 사용자 계정(SID)과 레지스트리

C:\Documents and Settings\Administrator>whoami /user

사용자 정보
----------------

사용자 이름               SID
========================= ============================================

test\administrator S-1-5-21-492071019-2925002615-2793575378-500


위의 시스템의 SID를 보면 "S-1-5-21-492071019-2925002615-2793575378-500" 인 것을 알 수 있다. 각각의 항목이 의미하는 바는 다음과 같다.
- S-1 : 해당 시스템이 윈도우이다.
- 5-21 : 시스템이 도메인 컨트롤러 이거나 단독 시스템(stand-alone system)이다.
- 492071019-2925002615-2793575378 : 시스템의 고유한 숫자
- 500 : 사용자별 숫자로 표현되는 고유한 ID. Administrator 계정은 500, Guest는 501, 일반 사용자는 1000번 이상의 숫자를 갖는다.


위에서 설명한 SID를 사용하여 윈도우의 사용자 계정을 목록화 하기 위해서는 user2sid와 sid2user라는 유틸리티를 사용한다. 먼저 user2sid 명령어를 이용하여 해당 시스템의 SID를 구해낸다.(물론 계정 정보 최소 1개는 알고 있어야 하며 주로 사용되는 administrator를 이용하여 SID를 얻어 보았다.)


C:\Documents and Settings\Geek>user2sid \\192.168.0.xx administrator

S-1-5-21-492071019-2925002615-xxxxxxxxxx-500

Number of subauthorities is 5
Domain is SOL-FILESVR
Length of SID in memory is 28 bytes

Type of SID is SidTypeUser


위와 같이 해당 시스템에 대한 SID를 쉽게 획득할 수 있다. 여기서 얻은 SID를 이용하여 sid2user 명령어를 이용 사용자 계정에 대한 목록화가 가능하다. sid2user 명령어를 이용하여 위에서 얻은 SID 값의 일반 계정 값을 변경해 보면서 계정 추측이 가능하다.


C:\Documents and Settings\Geek>sid2user \\192.168.0.xx 5 21 492071019 292500261 xxxxxxxxxx 1010

Name is geek
Domain is SOL-FILESVR
Type of SID is SidTypeUser

C:\Documents and Settings\Geek>sid2user 
\\192.168.0.xx 5 21 492071019 292500261 xxxxxxxxxx 1004

Name is abc
Domain is SOL-FILESVR

Type of SID is SidTypeUser


sid2user를 실행한 결과와 같이 사용자 ID 1010에 해당하는 geek라는 계정과 1004에 해당하는 abc라는 계정이 있는 것을 알 수 있으며 계속적인 숫자 대입을 통해 사용자 목록화가 가능하다.


레지스트리의 사용자 설정


사용자 설정이 되어 있는 레지스트리 키는
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

 

S-1-5-18 - 시스템 프로필(system profile)
S-1-5-19 - 로컬 서비스(Local Service)
S-1-5-20 - 네트워크 서비스(Network Service)
오른 쪽 창에는 Flags, ProfileImagePath, State 라는 세 가지 값을 가지고 있습니다.

 

S-1-5-21 로 시작하는 프로필은 컴퓨터 사용자가 만든 계정들입니다.
S-1-5-21-xxxxxxxxxx-xxxxxxx-xxxxxxxx-1000
1000 이상으로 시작되는 계정들이 user 권한을 갖는 계정 들이고, 500 이 administrator 계정입니다.
마찬가지로 오른 쪽 창에는 Flags, ProfileImagePath, State 라는 세 가지 값을 가지고 있습니다

 

만약 오른쪽 창에 Flags, ProfileImagePath, State 키를 가지고 있지 않는 키가 있다면 문제가 있는 계정이므로
제어판의 계정과 비교한 후 삭제를 하셔도 됩니다.


 

 

출처 : sinun.tistory.com, sungtg.tistory.com



Trackback 0 Comment 0