[WindowsSystem] Registry에 대해서

1. Registry 

윈도우에서 모든 시스템 정보가 저장되는 계층형 데이터베이스(DB)

부팅 과정부터 로그인, 서비스 실행, 응용 프로그램 실행, 사용자 행위 등 윈도우 시스템에서 수행되는 모든 활동에 참여한다.

시스템 환경 설정 값과 시스템/애플리케이션 정보를 보관한다.

 

2. Registry 요소

1) Key(키): 폴더

- Root Key: 최상위 폴더

- Sub Key: 하위 폴더

2) Value(이름): 폴더 내 정보

3) Data(데이터)

 

윈도우 레지스트리 편집키: Window 키 + R => regedit

윈도우 레지스트리 편집기

 

하이브 (Hive): 키의 트리 구조

작은 레지스트리 데이터 구조체들의 집합 혹은 서브셋

HKLM과 HKU는 독자적인 정보를 갖는 Master Key, 나머지는 루트키의 서브셋(derived key, 마스터 키에 상속받아서 만들어지는 키)

루트키	정의	예
HKCR: HKEY_CLASSES_ROOT derived key	시스템에 등록된 파일 확장자와 그것을 열 때 사용할 프로그램의 매핑 정보	HKLM\SOFTWARE\Classes HKU\Classes 아래에 있는 서브키들의 집합 .mp3의 실행 정보
HKCU: HKEY_CURRENT_USER derived key	현재 시스템에 로그온하고 있는 사용자가 설정한 시스템 환경 정보 (디스플레이 설정, 단축 아이콘, 네트워크, 응용 프로그램 등의 정보)	HKU에서 내용을 가져와서 구성 HKCU\Volatile Environment
HKLM: HKEY_LOCAL_MACHINE master key	자체 하이브를 가지고 있으며, 로그온 사용자와 관계없이 컴퓨터에 등록된 하드웨어, 소프트웨어 드라이버의 환경 설정 정보 포함	HKLM\SECURITY = c:\windows\system32\config\security HKLM\SOFTWARE =  c:\windows\system32\config\software HKLM\SAM = 로컬 계정과 그룹 정보
HKU: HKEY_USERS master key	시스템의 모든 계정과 그룹에 대한 정보를 저장 HKCU와 달리 계정 프로파일을 구성	HKU\로컬 사용자 계정 SID HKU\네트워크 사용자 계정 SID HKU\사용자 계정 SID 타이핑한 인터넷 방문 기록 검색 (TypedURLs)
HKCC: HKEY_CURRENT_CONFIG derived key	시스템이 시작될 때 사용하는 하드웨어 프로파일 저장

 

3. Registry 정보

- 시스템 정보 = HKLM\Software\Microsoft\WindowsNT\CurrentVersion

- 컴퓨터 이름 = HKLM\system\currentcontrolset\(control)\computername\activecomputername

- 설치된 프로그램의 이름, 버전, 게시자, 설치 날짜/시간, 설치 경로 확인 가능 = HKLM\ Software\Microsoft\Windows\CurrentVersion\Unintall

- 시스템 마지막 종료시간 = HKLM\system\controlsetxxx\control\windows의 shutdowntime

- 자동 시작 프로그램 = HKLM\software\microsoft\windows\currentversion\run

- 무선 네트워크 정보 = HKLM\software\microsoft\windowsNT\currentversion\networklist\nla

- 최근 문서 = HKCU\software\microsoft\windows\currentversion\explorer\recentdocs