'레지스트리'에 해당되는 글 17건

  1. 2010.07.28 Windows XP 시작 방해 손상된 레지스트리 복구
  2. 2010.07.22 고급 사용자를 위한 Windows 레지스트리 정보 (1)
  3. 2010.06.06 [멀웨어] Ahnsoft ? - ahnsbsb.exe, ahnfgss0.dll, ahnfgss1.dll, ahnxsds0.dll, ahnxsds1.dll
2010.07.28 20:16

Windows XP 시작 방해 손상된 레지스트리 복구

Windows XP 기반 컴퓨터를 시작하거나 다시 시작하려고 하면 다음과 유사한 오류 메시지 중 하나가 나타날 수 있습니다.
다음 파일이 없거나 손상되어 Windows XP가 시작되지 않습니다: \WINDOWS\SYSTEM32\CONFIG\SYSTEM
다음 파일이 없거나 손상되어 Windows XP가 시작되지 않습니다: \WINDOWS\SYSTEM32\CONFIG\SOFTWARE
Stop: c0000218 {레지스트리 파일 오류} 레지스트리가 다음 하이브(파일)을 로드할 수 없습니다. \SystemRoot\System32\Config\SOFTWARE 또는 로그나 대체 파일을 로드할 수 없습니다.
시스템 오류: Lsass.exe
암호를 업데이트할 때 이 반환 상태는 현재 암호에 제공한 값이 잘못되었음을 나타냅니다.

Windows XP가 시작될 수 없도록 방해하는 손상된 레지스트리를 복구하기 위한 수동 단계

이 문서에서 설명하는 절차는 복구 콘솔과 시스템 복원을 사용합니다. 이 문서에는 프로세스가 완전하게 완료되도록 하는 데 필요한 모든 단계도 특정 순서대로 나와 있습니다. 이 절차를 완료하면 시스템이 문제가 발생하기 전과 매우 유사한 상태로 복원됩니다. NTBackup을 실행하고 시스템 상태 백업을 완료한 경우에는 2부와 3부에 나와 있는 절차는 수행할 필요가 없고 4부로 건너뛰어도 됩니다.

1부

1부에서는 복구 콘솔을 시작하고 임시 폴더를 만들고 기존 레지스트리 파일을 새 위치로 백업한 다음 기존 위치에 있는 레지스트리 파일을 삭제하고 복구 폴더에서 System32\Config 폴더로 레지스트리 파일을 복사합니다. 이 절차를 마치면 Windows XP를 시작하는 데 사용할 수 있는 레지스트리가 만들어집니다. 이 레지스트리는 Windows XP를 처음 설치하는 동안 만들어져서 저장되므로 설치 프로그램이 완료된 후 발생한 변경 사항과 설정은 모두 손실됩니다.

1부를 완료하려면 다음 단계를 수행합니다.
  1. Windows XP 시동 디스크를 플로피 디스크 드라이브에 넣거나 Windows XP CD-ROM을 CD-ROM 드라이브에 넣은 다음 컴퓨터를 다시 시작합니다.
    CD-ROM 드라이브에서 컴퓨터를 시작하는 데 필요한 옵션을 선택하라는 메시지가 나타나면 해당 옵션을 선택합니다.
  2. "설치 프로그램을 시작합니다." 화면이 나타나면 R 키를 눌러 복구 콘솔을 시작합니다.
  3. 이중 부팅이나 다중 부팅 컴퓨터에서는 복구 콘솔에서 액세스할 설치를 선택합니다.
  4. 관리자 암호를 입력하라는 메시지가 나타나면 관리자 암호를 입력합니다. 관리자 암호가 없으면 그냥 Enter 키를 누르면 됩니다.
  5. 복구 콘솔 명령 프롬프트에서 다음 명령줄을 입력하고 각 줄 끝에서 Enter 키를 누릅니다.
    md tmp
    copy c:\windows\system32\config\system c:\windows\tmp\system.bak
    copy c:\windows\system32\config\software c:\windows\tmp\software.bak
    copy c:\windows\system32\config\sam c:\windows\tmp\sam.bak
    copy c:\windows\system32\config\security c:\windows\tmp\security.bak
    copy c:\windows\system32\config\default c:\windows\tmp\default.bak

    delete c:\windows\system32\config\system
    delete c:\windows\system32\config\software
    delete c:\windows\system32\config\sam
    delete c:\windows\system32\config\security
    delete c:\windows\system32\config\default

    copy c:\windows\repair\system c:\windows\system32\config\system
    copy c:\windows\repair\software c:\windows\system32\config\software
    copy c:\windows\repair\sam c:\windows\system32\config\sam
    copy c:\windows\repair\security c:\windows\system32\config\security
    copy c:\windows\repair\default c:\windows\system32\config\default
  6. exit를 입력하여 복구 콘솔을 종료합니다. 컴퓨터가 다시 시작됩니다.
참고 이 절차에서는 Windows XP가 C:\Windows 폴더에 설치되어 있다고 가정합니다. Windows XP가 다른 위치에 있으면 C:\Windows를 적절한 windows_folder로 변경해야 합니다.

다른 컴퓨터에 액세스할 수 있는 경우 시간을 절약하기 위해 5단계에 있는 텍스트를 복사한 다음 "Regcopy1.txt"와 같은 텍스트 파일을 만들 수 있습니다. 이 파일을 사용하려면 복구 콘솔에서 시작할 때 다음 명령을 실행하십시오.
batch regcopy1.txt
복구 콘솔에서 batch 명령을 사용하면 텍스트 파일의 모든 명령을 순차적으로 처리할 수 있습니다. batch 명령을 사용할 경우 많은 명령을 수동으로 입력하지 않아도 됩니다.

2부

이 절에서 설명하는 절차를 완료하려면 관리자나 관리 사용자(Administrators 그룹에 계정이 있는 사용자)로 로그온해야 합니다. Windows XP Home Edition을 사용 중인 경우에는 관리 사용자로 로그온하면 됩니다. 관리자로 로그온한 경우에는 먼저 Windows XP Home Edition을 안전 모드에서 시작해야 합니다. Windows XP Home Edition 컴퓨터를 안전 모드에서 시작하려면 다음 단계를 수행합니다.

참고 계속하기 전에 이 지침을 인쇄해 두십시오. 안전 모드에서 컴퓨터를 다시 시작한 후에는 이러한 지침을 볼 수 없습니다. NTFS 파일 시스템을 사용하는 경우 기술 자료 문서 309531의 지침도 인쇄해 두십시오. 7단계에 이 문서에 대한 참조가 포함되어 있습니다.
  1. 시작을 클릭하고 시스템 종료(또는 컴퓨터 끄기)를 클릭한 다음 다시 시작을 클릭하고 확인(또는 다시 시작)을 클릭합니다.
  2. F8 키를 누릅니다.

    여러 운영 체제를 시작하도록 구성된 컴퓨터에서는 시작 메뉴가 나타날 때 F8 키를 누르면 됩니다.
  3. 화살표 키를 사용하여 적절한 안전 모드 옵션을 선택한 다음 Enter 키를 누릅니다.
  4. 듀얼 부팅 시스템이나 다중 부팅 시스템에서는 화살표 키를 사용하여 액세스할 설치를 선택한 다음 Enter 키를 누릅니다.
2부에서는 시스템 복원을 사용하여 백업한 위치에서 레지스트리 파일을 복사합니다. 이 폴더는 복구 콘솔에서 사용할 수 없으며 일반적으로 사용하는 동안에는 대개 표시되지 않습니다. 이 절차를 시작하기 전에 몇 가지 설정을 변경하여 폴더가 보이게 해야 합니다.
  1. Windows 탐색기를 시작합니다.
  2. 도구 메뉴에서 폴더 옵션을 클릭합니다.
  3. 보기 탭을 클릭합니다.
  4. 숨김 파일 및 폴더에서 숨김 파일 및 폴더 표시를 선택한 다음 보호된 운영 체제 파일 숨기기(권장) 확인란의 선택을 취소합니다.
  5. 이러한 파일을 표시할 것인지 묻는 대화 상자가 표시되면 를 클릭합니다.
  6. Windows XP를 설치한 드라이브를 두 번 클릭하여 폴더 목록을 표시합니다. 올바른 드라이브를 선택해야 합니다.
  7. System Volume Information 폴더를 엽니다. 이 폴더는 사용할 수 없으며 수퍼 숨김 폴더로 설정되어 있기 때문에 희미하게 표시됩니다.

    참고 이 폴더에는 "_restore{87BD3667-3246-476B-923F-F86E30B3E7F8}"과 같은 하나 이상의 _restore{GUID} 폴더가 포함되어 있습니다.

    참고 다음과 같은 오류 메시지가 나타날 수 있습니다.
    C:\System Volume Information에 액세스할 수 없습니다. 액세스가 거부되었습니다.
    이 메시지가 나타나면 다음 Microsoft 기술 자료 문서를 참조하여 이 폴더에 액세스하고 절차를 계속 수행합니다.
    309531  (http://support.microsoft.com/kb/309531/ ) System Volume Information 폴더에 대한 액세스 권한을 얻는 방법
  8. 지금 만들지 않은 폴더를 엽니다. 보기 메뉴에서 자세히를 클릭하여 이러한 폴더를 언제 만들었는지 확인할 수 있습니다. 이 폴더 아래에 "RPx"로 시작하는 폴더가 하나 이상 있을 수 있습니다. 이러한 폴더가 복원 지점입니다.
  9. 이러한 폴더 중 하나를 열어 Snapshot 하위 폴더를 찾습니다. 다음 경로는 Snapshot 폴더의 폴더 경로 예제입니다.
    C:\System Volume Information\_restore{D86480E3-73EF-47BC-A0EB-A81BE6EE3ED8}\RP1\Snapshot
  10. Snapshot 폴더에서 아래의 파일을 C:\Windows\Tmp 폴더로 복사합니다.
    • _REGISTRY_USER_.DEFAULT
    • _REGISTRY_MACHINE_SECURITY
    • _REGISTRY_MACHINE_SOFTWARE
    • _REGISTRY_MACHINE_SYSTEM
    • _REGISTRY_MACHINE_SAM
  11. C:\Windows\Tmp 폴더에 있는 파일의 이름을 다음과 같이 바꿉니다.
    • _REGISTRY_USER_.DEFAULT의 이름을 DEFAULT로 바꿉니다.
    • _REGISTRY_MACHINE_SECURITY의 이름을 SECURITY로 바꿉니다.
    • _REGISTRY_MACHINE_SOFTWARE의 이름을 SOFTWARE로 바꿉니다.
    • _REGISTRY_MACHINE_SYSTEM의 이름을 SYSTEM으로 바꿉니다.
    • _REGISTRY_MACHINE_SAM의 이름을 SAM으로 바꿉니다.
이러한 파일은 시스템 복원에서 백업된 레지스트리 파일입니다. 설치 프로그램에서 만든 레지스트리 파일을 사용했기 때문에 이 레지스트리는 이러한 복원 지점이 있으며 사용할 수 있음을 인식하지 못합니다. 새 폴더가 System Volume Information 아래에서 새로운 GUID로 만들어지고 1부에서 복사한 레지스트리 파일의 사본이 포함되어 있는 복원 지점이 만들어집니다. 따라서 폴더의 타임스탬프가 현재 시간과 같은 경우에 특히 최신 폴더를 사용하지 말아야 합니다.

현재 시스템 구성은 이전 복원 지점을 인식하지 못합니다. 이전 복원 지점을 다시 사용할 수 있도록 하려면 이전 복원 지점에 이전 레지스트리 복사본이 있어야 합니다.

C:\Windows 폴더의 Tmp 폴더에 복사된 레지스트리 파일은 복구 콘솔에서 사용될 수 있도록 이동됩니다. 이러한 파일을 사용하여 현재 C:\Windows\System32\Config 폴더에 있는 레지스트리 파일을 대체해야 합니다. 기본적으로 복구 콘솔에서는 액세스할 수 있는 폴더가 제한되어 있기 때문에 System Volume 폴더에서 파일을 복사할 수 없습니다.

참고 이 절에서 설명하는 절차에서는 FAT32 파일 시스템을 사용하는 컴퓨터를 실행하는 것으로 가정합니다. NTFS 파일 시스템에서 System Volume Information 폴더에 액세스하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
309531  (http://support.microsoft.com/kb/309531/ ) System Volume Information 폴더에 대한 액세스 권한을 얻는 방법

3부

3부에서는 기존의 레지스트리 파일을 삭제한 다음 시스템 복구 레지스트리 파일을 C:\Windows\System32\Config 폴더로 복사합니다.
  1. 복구 콘솔을 시작합니다.
  2. 명령 프롬프트에서 다음 명령을 입력하고 각 줄을 입력한 후 Enter 키를 누릅니다.
    del c:\windows\system32\config\sam
    del c:\windows\system32\config\security
    del c:\windows\system32\config\software
    del c:\windows\system32\config\default
    del c:\windows\system32\config\system

    copy c:\windows\tmp\software c:\windows\system32\config\software
    copy c:\windows\tmp\system c:\windows\system32\config\system
    copy c:\windows\tmp\sam c:\windows\system32\config\sam
    copy c:\windows\tmp\security c:\windows\system32\config\security
    copy c:\windows\tmp\default c:\windows\system32\config\default

    참고 명령줄 중 일부는 쉽게 읽을 수 있도록 두 줄로 표시될 수 있습니다.
  3. exit를 입력하여 복구 콘솔을 종료합니다. 컴퓨터가 다시 시작됩니다.
참고 이 절차에서는 Windows XP가 C:\Windows 폴더에 설치되어 있다고 가정합니다. Windows XP가 다른 위치에 있으면 C:\Windows를 적절한 windows_folder로 변경해야 합니다.

다른 컴퓨터에 액세스할 수 있는 경우 시간을 절약하기 위해 2단계에 있는 텍스트를 복사한 다음 "Regcopy2.txt"와 같은 텍스트 파일을 만들 수 있습니다. 이 파일을 사용하려면 복구 콘솔에서 시작할 때 다음 명령을 실행하십시오.
batch regcopy2.txt

4부

  1. 시작을 클릭한 다음 모든 프로그램을 클릭합니다.
  2. 보조프로그램을 클릭한 다음 시스템 도구를 클릭합니다.
  3. 시스템 복원을 클릭한 다음 이전 시점으로 내 컴퓨터 복원을 클릭합니다.


출처 : support.microsoft.com


Trackback 0 Comment 0
2010.07.22 16:54

고급 사용자를 위한 Windows 레지스트리 정보

Microsoft Windows 98, Windows CE, Windows NT 및 Windows 2000에서 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 맞게 시스템을 구성하는 데 필요한 정보를 저장하는 중앙 계층형 데이터베이스

해당 레지스트리에는 각 사용자의 프로필, 컴퓨터에 설치된 응용 프로그램과 각 응용 프로그램이 작성할 수 있는 문서 유형, 폴더 및 응용 프로그램 아이콘의 속성 시트 설정, 시스템에 존재하는 하드웨어, 사용되고 있는 포트 등 작동 중에 Windows에서 지속적으로 참조하는 정보가 들어 있습니다.

해당 레지스트리는 Autoexec.bat 및 Config.sys와 같은 Windows 3.x 및 MS-DOS 구성 파일에 사용된 대부분의 텍스트 기반 .ini 파일을 대신합니다. 레지스트리는 여러 Windows 운영 체제에 공통적으로 사용되지만 운영 체제에 따라 다소 차이가 있습니다.

레지스트리 하이브는 데이터의 백업이 포함된 지원 파일의 집합을 가진 레지스트리의 키, 하위 키 및 값의 그룹입니다. HKEY_CURRENT_USER를 제외한 모든 하이브의 지원 파일은 Windows NT 4.0, Windows 2000, Windows XP, Windows Server 2003 및 Windows Vista의 %SystemRoot%\System32\Config 폴더에 있고, HKEY_CURRENT_USER의 지원 파일은 %SystemRoot%\Profiles\Username 폴더에 있습니다. 이러한 폴더에 있는 파일의 확장명은 해당 파일에 포함된 데이터의 형식을 나타냅니다. 또한 확장명이 없는 이름이 해당 파일에 포함된 데이터의 형식을 나타내는 경우도 있습니다.
 
레지스트리 하이브 지원 파일
HKEY_LOCAL_MACHINE\SAM Sam, Sam.log, Sam.sav
HKEY_LOCAL_MACHINE\Security Security, Security.log, Security.sav
HKEY_LOCAL_MACHINE\Software Software, Software.log, Software.sav
HKEY_LOCAL_MACHINE\System System, System.alt, System.log, System.sav
HKEY_CURRENT_CONFIG System, System.alt, System.log, System.sav, Ntuser.dat, Ntuser.dat.log
HKEY_USERS\DEFAULT Default, Default.log, Default.sav
Windows 98에서는 레지스트리 파일 이름이 User.dat와 System.dat이고 Windows Millennium Edition에서는 Classes.dat, User.dat 및 System.dat입니다.

참고 Windows NT, Windows 2000, Windows XP, Windows Server 2003 및 Windows Vista의 보안 기능을 통해 관리자는 레지스트리 키에 대한 액세스를 제어할 수 있습니다.

다음 표에는 시스템에서 사용하는 미리 정의된 키가 나열되어 있습니다. 키 이름의 최대 크기는 255자입니다.
 
폴더/미리 정의된 키 설명
HKEY_CURRENT_USER 현재 로그온되어 있는 사용자에 대한 구성 정보의 루트가 포함됩니다. 사용자의 폴더, 화면 색상 및 제어판 설정이 여기에 저장됩니다. 이 정보는 사용자 프로필과 관련됩니다. 이 키는 "HKCU"로 간략히 표시되기도 합니다.
HKEY_USERS 컴퓨터에서 로드된 모든 사용자 프로필이 포함됩니다. HKEY_CURRENT_USER는 HKEY_USERS의 하위 키입니다. HKEY_USERS는 "HKU"라고 간략히 표시되기도 합니다.
HKEY_LOCAL_MACHINE 컴퓨터에 특정한 구성 정보가 포함됩니다(임의의 사용자에 해당). 이 키는 "HKLM"으로 간략히 표시되기도 합니다.
HKEY_CLASSES_ROOT HKEY_LOCAL_MACHINE\Software의 하위 키입니다. 여기에 저장되는 정보는 Windows 탐색기를 사용하여 파일을 열 때 올바른 프로그램이 열리도록 합니다. 이 키는 "HKCR"로 간략히 표시되기도 합니다. Windows 2000에서 시작하는 경우 이 정보는 HKEY_LOCAL_MACHINE과 HKEY_CURRENT_USER 키에 저장됩니다. HKEY_LOCAL_MACHINE\Software\Classes 키에는 로컬 컴퓨터의 모든 사용자에게 적용할 수 있는 기본 설정이 포함됩니다. HKEY_CURRENT_USER\Software\Classes 키에는 기본 설정을 무시하고 대화형 사용자에게만 적용되는 설정이 포함됩니다. HKEY_CLASSES_ROOT 키는 이 두 소스의 정보를 병합하는 레지스트리 뷰를 제공합니다. HKEY_CLASSES_ROOT는 이전 버전의 Windows용으로 설계된 프로그램에 대해서도 이러한 병합된 뷰를 제공합니다. 대화형 사용자에 대한 설정을 변경하려면 HKEY_CLASSES_ROOT에서가 아니라 HKEY_CURRENT_USER\Software\Classes에서 변경해야 합니다. 기본 설정을 변경하려면 HKEY_LOCAL_MACHINE\Software\Classes에서 변경해야 합니다. HKEY_CLASSES_ROOT에 있는 키에 값을 쓰는 경우 시스템은 HKEY_LOCAL_MACHINE\Software\Classes에 정보를 저장합니다. HKEY_CLASSES_ROOT에 있는 키에 값을 쓰고 해당 키가 이미 HKEY_CURRENT_USER\Software\Classes에 있는 경우 시스템은 HKEY_LOCAL_MACHINE\Software\Classes에 정보를 저장하지 않고 HKEY_CURRENT_USER\Software\Classes에 정보를 저장합니다.
HKEY_CURRENT_CONFIG 시스템 시작 시 로컬 컴퓨터에서 사용하는 하드웨어 프로필에 대한 정보가 포함됩니다.

참고 64비트 버전의 Windows XP, Windows Server 2003 및 Windows Vista에 있는 레지스트리는 32비트 및 64비트 키로 나누어져 있습니다. 32비트 키 대부분은 해당하는 64비트 키와 이름이 같으며 마찬가지로 64비트 키 대부분은 해당하는 32비트 키와 이름이 같습니다. 64비트 버전의 Windows XP, Windows Server 2003 및 Windows Vista에 포함되어 있는 기본 64비트 버전의 레지스트리 편집기는 다음 노드 아래에 32비트 키를 표시합니다.

HKEY_LOCAL_MACHINE\Software\WOW6432Node
64비트 버전의 Windows에서 레지스트리를 보는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료를 참조하십시오.
305097  (http://support.microsoft.com/kb/305097/ ) 64비트 Windows 버전에서 시스템 레지스트리를 보는 방법

다음 표에는 Windows에서 현재 정의되어 있고 사용되는 데이터 형식이 나열되어 있습니다. 값 이름의 최대 크기는 다음과 같습니다.
  • Windows Server 2003, Windows XP 및 Windows Vista: 16,383자
  • Windows 2000: 260자(ANSI) 또는 16,383자(유니코드)
  • Windows Millennium Edition/Windows 98/Windows 95: 255자
2,048바이트보다 큰 값은 레지스트리에 저장된 파일 이름을 사용하여 파일로 저장되어야 합니다. 이렇게 하면 레지스트리가 효율적으로 작업을 수행합니다. 값의 최대 크기는 다음과 같습니다.
  • Windows NT 4.0/Windows 2000/Windows XP/Windows Server 2003/Windows Vista: 사용 가능한 메모리
  • Windows Millennium Edition/Windows 98/Windows 95: 16,300바이트
참고 키의 모든 값의 총 크기는 64K로 제한됩니다.
 
이름 데이터 형식 설명
이진값 REG_BINARY 원시 이진 데이터. 대부분의 하드웨어 구성 요소 정보는 이진 데이터로 저장되고 16진수 형식으로 레지스트리 편집기에 표시됩니다.
DWORD 값 REG_DWORD 4바이트 길이의 수(32비트 정수)로 표현되는 데이터. 장치 드라이버와 서비스의 많은 매개 변수가 이 형식으로 되어 있으며 레지스트리 편집기에 이진, 16진수 또는 10진수 형식으로 표시됩니다. 관련 값은 DWORD_LITTLE_ENDIAN(중요도가 가장 적은 바이트가 최하위 주소에 있음)과 REG_DWORD_BIG_ENDIAN(중요도가 가장 적은 바이트가 최상위 주소에 있음)입니다.
확장 가능한 문자열 값 REG_EXPAND_SZ 변동 길이 데이터 문자열. 이 데이터 형식에는 프로그램이나 서비스가 데이터를 사용할 때 확인되는 변수가 포함됩니다.
다중 문자열 값 REG_MULTI_SZ 다중 문자열. 사용자들이 읽을 수 있는 형식으로 된 여러 값이나 목록이 포함된 값은 일반적으로 이 형식으로 되어 있습니다. 항목은 공백, 쉼표나 다른 기호로 구분됩니다.
문자열 값 REG_SZ 고정 길이 텍스트 문자열
이진값 REG_RESOURCE_LIST 하드웨어 장치 드라이버나 이 드라이버가 제어하는 물리 장치 중 하나에서 사용하는 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 이 데이터를 감지하여 \ResourceMap 트리에 씁니다. 이 값은 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.
이진값 REG_RESOURCE_REQUIREMENTS_LIST 장치 드라이버나 이 드라이버가 제어하는 물리 장치 중 하나에서 사용할 수 있는 장치 드라이버의 가능한 하드웨어 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 \ResourceMap 트리로 이 목록의 하위 집합을 씁니다. 이 데이터는 시스템에 의해 감지되며 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.
이진값 REG_FULL_RESOURCE_DESCRIPTOR 물리 하드웨어 장치에서 사용하는 리소스 목록을 저장할 목적으로 설계된 일련의 중첩 배열. 시스템은 이 데이터를 감지하여 \HardwareDescription 트리에 씁니다. 이 값은 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.
없음 REG_NONE 특정한 형식이 없는 데이터. 이 데이터는 시스템과 응용 프로그램에 의해 레지스트리에 쓰여지며 레지스트리 편집기에 이진값의 16진수 형식으로 표시됩니다.
링크 REG_LINK 심볼 링크의 이름을 지정하는 유니코드 문자열.
QWORD 값 REG_QWORD 64비트 정수로 표현되는 데이터. 이 데이터는 레지스트리 편집기에 이진값으로 표시되며 Windows 2000에 도입되었습니다.

레지스트리 백업

레지스트리를 편집하기 전에 편집할 레지스트리의 키를 내보내거나 전체 레지스트리를 백업하십시오. 문제가 발생하면 "레지스트리 복원" 절에 나와 있는 단계를 수행하여 레지스트리를 이전 상태로 복원할 수 있습니다. 전체 레지스트리를 백업하려면 백업 유틸리티를 사용하여 시스템 상태를 백업하십시오. 시스템 상태에는 레지스트리, COM+ 클래스 등록 데이터베이스 및 부팅 파일 등이 포함됩니다. 백업 유틸리티를 사용하여 시스템 상태를 백업하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
308422  (http://support.microsoft.com/kb/308422/ ) Windows XP에 포함된 백업 유틸리티를 사용하여 파일과 폴더를 백업하는 방법
320820  (http://support.microsoft.com/kb/320820/ ) Windows XP Home Edition에서 백업 유틸리티를 사용하여 파일과 폴더를 백업하는 방법
326216  (http://support.microsoft.com/kb/326216/ ) Windows Server 2003에서 백업 기능을 사용하여 데이터를 백업하고 복원하는 방법 (영문)

레지스트리 편집

레지스트리 데이터를 수정하려면 프로그램은 다음 MSDN 웹 사이트에 정의된 레지스트리 함수를 사용해야 합니다.
http://msdn.microsoft.com/ko-kr/library/ms724875(VS.85).aspx (http://msdn.microsoft.com/ko-kr/library/ms724875(VS.85).aspx)
관리자는 레지스트리 편집기(Regedit.exe 또는 Regedt32.exe), 그룹 정책, 시스템 정책, 레지스트리(.reg) 파일을 사용하거나 VisualBasic 스크립트 파일 등의 스크립트를 실행하여 레지스트리를 수정할 수 있습니다.

Windows 사용자 인터페이스 사용

시스템 설정을 변경하려면 레지스트리를 수동으로 편집하는 대신 Windows 사용자 인터페이스를 사용하는 것이 좋습니다. 그러나 레지스트리를 편집하는 것이 때때로 제품 문제를 해결하는 가장 좋은 방법이 될 수도 있습니다. Microsoft 기술 자료에서 이러한 문제를 다룬 경우 해당 문제를 해결하기 위해 레지스트리를 편집하는 방법에 대한 단계별 지침이 들어 있는 문서를 참조할 수 있습니다. 항상 이러한 지침을 정확히 따르는 것이 좋습니다.

레지스트리 편집기 사용

경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 이러한 문제를 해결하기 위해 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 이러한 문제의 해결을 보증하지 않습니다. 레지스트리 수정에 따른 모든 책임은 사용자에게 있습니다.
레지스트리 편집기를 사용하여 다음을 수행할 수 있습니다.
  • 하위 트리, 키, 하위 키 또는 값 찾기
  • 하위 키 또는 값 추가
  • 값 변경
  • 하위 키 또는 값 삭제
  • 하위 키 또는 값 이름 바꾸기
레지스트리 편집기의 탐색 영역에는 폴더가 표시되며 각 폴더는 로컬 컴퓨터에 미리 정의된 키를 나타냅니다. 원격 컴퓨터의 레지스트리에 액세스할 때 나타나는 미리 정의된 키는 HKEY_USERS와 HKEY_LOCAL_MACHINE뿐입니다.

그룹 정책 사용

MMC(Microsoft Management Console)은 네트워크, 컴퓨터, 서비스 및 기타 시스템 구성 요소를 관리하는 데 사용할 수 있는 관리 도구를 호스팅합니다. 관리자는 그룹 정책 MMC 스냅인을 사용하여 컴퓨터나 사용자에 적용되는 정책 설정을 정의할 수 있습니다. 로컬 그룹 정책 MMC 스냅인(Gpedit.msc)을 사용하면 로컬 컴퓨터에서 그룹 정책을 구현할 수 있고, Active Directory 사용자 및 컴퓨터 MMC 스냅인을 사용하면 Active Directory에서 그룹 정책을 구현할 수 있습니다. 그룹 정책 사용에 대한 자세한 내용은 해당 그룹 정책 MMC 스냅인의 도움말 항목을 참조하십시오.

등록 항목(.reg) 파일 사용

레지스트리 변경 사항이 들어 있는 등록 항목(.reg) 파일을 만든 다음 변경할 컴퓨터에서 이 .reg 파일을 실행합니다. .reg 파일을 수동으로 실행하거나 로그온 스크립트를 사용하여 실행할 수 있습니다. 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
310516  (http://support.microsoft.com/kb/310516/ ) 레지스트리 항목(.reg) 파일을 사용하여 레지스트리 하위 키 및 값을 추가, 수정 또는 삭제하는 방법

Windows 스크립트 호스트 사용

Windows 스크립트 호스트를 사용하면 운영 체제에서 직접 VBScript 및 JScript 스크립트를 실행할 수 있습니다. Windows 스크립트 호스트 메서드를 사용하는 VBScript 및 JScript 파일을 만들어 레지스트리 키와 값을 삭제하고 읽고 쓸 수 있습니다. 이러한 메서드에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
RegDelete 메서드
RegRead 메서드
RegWrite 메서드

Windows Management Instrumentation 사용

WMI(Windows Management Instrumentation)는 Microsoft Windows 운영 체제의 구성 요소이며 WBEM(Web-Based Enterprise Management)을 Microsoft에서 구현한 것입니다. WBEM은 엔터프라이즈 환경에서 관리 정보에 액세스하기 위한 표준 기술을 개발하기 위해 업계가 제안한 것입니다. 엔터프라이즈 환경에서 WMI를 사용하면 레지스트리 편집과 같은 관리 작업을 자동화할 수 있습니다. Windows에 엔진이 있고 Microsoft ActiveX 개체를 처리하는 스크립트 언어에서 WMI를 사용할 수 있습니다. 또한 WMI 명령줄 유틸리티(Wmic.exe)를 사용하여 Windows 레지스트리를 수정할 수도 있습니다.
WMI에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오. WMI 명령줄 유틸리티에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
290216  (http://support.microsoft.com/kb/290216/ ) WMI(Windows Management Instrumentation) 명령줄 유틸리티(Wmic.exe)의 설명

Windows용 콘솔 레지스트리 도구 사용

Windows용 콘솔 레지스트리 도구(Reg.exe)를 사용하여 레지스트리를 편집할 수 있습니다. Reg.exe 도구의 도움말을 보려면 명령 프롬프트에서 reg /?를 입력한 다음 확인을 클릭합니다.

출처 : support.microsoft.com

Trackback 0 Comment 1
  1. 정동완 2010.07.22 23:22 address edit & del reply

    먼소린지 통 모르겠네

2010.06.06 12:02

[멀웨어] Ahnsoft ? - ahnsbsb.exe, ahnfgss0.dll, ahnfgss1.dll, ahnxsds0.dll, ahnxsds1.dll

국내 온라인 게임 사용자들을 대상으로 한 악성코드가 안철수 연구소 모듈처럼 위장하여 사용하고 있는 것이 지속적으로 발견되고 있다.

보통 다음과 같은 파일명을 사용한다.

ahnsbsb.exe
ahnfgss0.dll
ahnfgss1.dll
ahnxsds0.dll
ahnxsds1.dll


이 악성코드는 위장된 가짜 RAR 포맷을 통해서 지속적으로 변종을 감염시키고 있다.

또한 감염되면 레지스트리에 ahnsoft 라는 이름으로 자신을 등록한다.
BHO(Browser Helper Objects)에는 ahnxsds0.dll 파일이 등록되어 작동된다.

해당 파일들은 다음과 같은 온라인 게임 계정 탈취를 시도한다. 엄청나다...

십이지천
미르의 전설
던전 앤 파이터
메이플 스토리
바람의 나라
대항해 시대
마비노기
라그나로크
리니지2
아이온
월드 오브 워 크래프트


출처 : http://viruslab.tistory.com/

Trackback 0 Comment 0