The Windows Registry Adventure #5: The regf file format
The Windows Registry Adventure #5: The regf file format
Posted by Mateusz Jurczyk, Google Project Zero As previously mentioned in the second installment of the blog post series ( "A brief ...
googleprojectzero.blogspot.com
- 레지스트리 하이브 구조
- 헤더: 하이브의 첫 4KiB는 일반 정보를 포함하는 헤더로 구성됨
- 빈(bin): 헤더 다음에는 4KiB의 배수 크기를 가지는 빈이 위치하며, 각 빈은 32바이트 헤더로 시작하고 여러 셀로 채워짐
- 셀: 하이브의 가장 작은 데이터 단위로, 키, 값, 보안 설명자 등을 기술하며, 크기는 8바이트의 배수로 저장됨
- 할당 상태: 셀의 크기는 32비트 정수로 표현되며, 양수는 미사용 셀, 음수는 사용 중인 셀을 나타냄
- 보안 관련 필드
- 보안 셀: 각 키는 보안 설명자를 가리키는 인덱스를 포함하며, 이는 키의 보안 속성을 정의함
- HCELL_NIL: 값이 -1(0xFFFFFFFF)인 특수 마커로, 존재하지 않는 셀을 나타내며, 잘못된 처리 시 시스템 보안에 취약점을 초래할 수 있음
- 보안 셀: 각 키는 보안 설명자를 가리키는 인덱스를 포함하며, 이는 키의 보안 속성을 정의함
- 키 클래스
- 정의: 키에 연관된 1~65535바이트의 불변 데이터로, 키 생성 시 한 번만 설정 가능하며 이후 수정 불가
- 용도: 현재는 거의 사용되지 않지만, 과거에는 키의 "유형"을 저장하는 데 사용되었음
- 최대 길이 캐시 필드
- MaxNameLen: 하위 키 이름의 최대 길이
- MaxClassLen: 하위 키 클래스 정보의 최대 길이
- MaxValueNameLen: 키에 연관된 값 이름의 최대 길이
- MaxValueDataLen: 키에 연관된 값 데이터의 최대 길이
- 주의사항: 이러한 필드는 최적의 값을 보장하지 않으며, 동시 액세스 시 경합 조건이 발생할 수 있으므로 주의 필요
- 결론
- regf 형식의 이해: 레지스트리의 저수준 구조에 대한 깊은 이해는 시스템 보안을 강화하고 잠재적 취약점을 식별하는 데 필수적임
- 보안 취약점 예방: 보안 설명자와 관련된 필드의 올바른 처리는 전체 시스템 보안에 중요하며, 잘못된 처리 시 취약점이 발생할 수 있음
- 최신 정보 습득: 레지스트리 형식과 관련된 최신 정보를 지속적으로 학습하여 보안 연구에 활용해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| DarkGate 악성코드, 팀즈(Teams)·AnyDesk 악용해 원격 설치 주의 (1) | 2025.01.03 |
|---|---|
| CISA Zero Trust Maturity Model에 대한 새로운 Microsoft 가이드 (1) | 2025.01.03 |
| 국가적 침해사고 분석 체계 구축의 필요성 (0) | 2025.01.03 |
| Lazarus 그룹, 핵 관련 엔지니어 노린 CookiePlus 백도어 공격 포착 (0) | 2025.01.03 |
| RiseLoader의 기술분석 (0) | 2025.01.03 |