울지않는벌새 : Security, Movie & Society

레지스트리 변경 감시 도구 : Regshot - 제품 소개

벌새::Software
실시간 레지스트리 변경을 확인할 수 있는 Regshot 프로그램에 대해 살펴보도록 하겠습니다.

◆ 제작사 홈페이지 : http://www.czechcup.com/regshot/index.php
◆ 버전 : 2.0.1.63
◆ 라이센스 : 프리웨어 (오픈소스)


해당 제품의 리뷰는 제작사 홈 페이지(러시아어)에 와 있는 정보를 바탕으로 하였으며, 일부 내용에 있어서 부정확한 면이 있을 수 있습니다.

첫 번째 리뷰에서는 제품에 대한 간단한 소개와 옵션 등 인터페이스를 중심으로 소개하겠습니다.

이 프로그램은 현재 시점의 레지스트리 정보를 기억하고 있다가 사용자가 원하는 시점에서 이전과 변경된 레지스트리 정보를 손쉽게 확인할 수 있도록 도와주는 프로그램입니다.

특히 제가 소개한 Sandboxie 환경에서 프로그램 테스트 시에도 유용하게 사용하실 수 있습니다.(샌드박스에서 사용시에는 Regshot 프로그램을 샌드박스로 작동할 필요없이 정상적인 사용방법으로 작동하셔도 샌드박스에서 변경된 부분을 체크하실 수 있습니다. 실제 샌드박스에서 해당 프로그램을 동작할 경우 저의 테스트 환경에서는 제 기능을 밝휘하지 못하는 것을 확인하였습니다.)

사용자 삽입 이미지

최초 Regshot 프로그램이 실행되면 러시아어로 언어 설정이 되어 있으므로 반드시 언어를 영어(English)로 변경하여 사용하시기 바랍니다.(최근 프랑스어, 독일어도 추가로 지원하고 있습니다.)

[Folder for store report] : 작성된 보고서 저장 폴더 지정
[Report name] : 저장할 보고서 이름 지정
[Add comment into the report] : 보고서에 추가할 코멘트 (선택사항)

사용자 삽입 이미지

[File] - [Options] 에서는 제품의 기본적인 환경설정을 하실 수 있습니다.

사용자 삽입 이미지

옵션을 보시면 이전 버전에 비해 매우 복잡해 지고 세분화되어 있는 것을 확인할 수 있습니다.

이 시간에는 [Common options] 부분만을 살펴보도록 하겠습니다.

[Open menu on press to button "shot"] : 이 부분은 아래 스크린샷을 참고하시기 바랍니다.
사용자 삽입 이미지

 

그림과 같이 메인 화면에서 스냅샵을 클릭하여 메뉴를 활성화 할 수 있게 설정할 수 있습니다.

[Automatic start of comparison shots]

사용자 삽입 이미지

메인 화면에서 현재 비활성화 되어 있는 [Compare] 기능을 사용시에 자동으로 시작할 수 있도록 지정할 수 있습니다.

기본적으로 이 프로그램의 동작 방식이 첫 번째 스냅샷과 두 번째 스냅샷의 차이를 비교하는 것임을 이해하신다면 기능 이해가 편하실 겁니다.

[Store shot on quit] : 프로그램을 끝낼 때 저장하기

[Check files in the specified folders] : 지정된 폴더에서의 파일 확인하기

사용자 삽입 이미지

이 기능은 파일을 CRC32 또는 MD5 기준으로 파일을 체크하여 변경된 파일의 크기를 확인하는 기능입니다.

사용자 삽입 이미지

옵션의 [Folders]에 보시면 체크할 폴더가 지정되어 있는 것을 보실 수 있습니다. 하단에는 예외 처리된 폴더 목록을 확인할 수 있습니다.

이제 기본적인 프로그램의 사용 방식을 한 눈에 살펴보겠습니다.

사용자 삽입 이미지

먼저 [1st shot]을 통하여 현재의 특정 레지스트리의 스냅샷을 생성합니다.

그 후 사용자가 특정 작업을 한 후 확인하고 싶은 시점에서 [2nd shot]을 통해 자신이 원하는 레지스트리 스냅샷을 추가로 생성합니다.

이제 첫 번째 생성된 정보와 두 번째 생성한 정보를 해당 프로그램이 지정된 방식으로 비교하여 보고서를 구현해 줍니다.

이런 방식을 통하여 특정 소프트웨어 설치를 통해 변경된 레지스트리 정보를 확인하거나 특정 악성코드 설치를 통해 생성, 수정, 삭제된 레지스트리 정보를 확인할 수 있습니다.