출처 : http://surewin.kr/

 

1. 시작하기

  1. [레지스트리 편집기]는, Windows 운영 체제의 모든 버전과 에디션에 같이 포함되어 있는 레지스트리 객체 편집기입니다.

  2. 이 [레지스트리 편집기]는 중요한 시스템 레지스트리를 보호하기 위하여 사용자에 의하여 시스템 기동과 함께 계속 실행되도록 또는 사용자에 의하여 실행되도록 하는 것을 무효로 또는 블로킹하여 잠글 수 있습니다.

  3. 다른 하나의 레지스트리 사용 불능의 원인으로 W32/Brontok-C와 같은 웜 바이러스의 감염에 의한 것도 들 수 있겠습니다.

  4. [레지스트리 편집기]가 사용 안 하는 것으로 설정되면 사용자는 더 이상 [레지스트리 편집기]를 열 수가 없습니다. 어떠한 RegEdit.exe의 실행을 위한 시도에도 아래 메시지가 응답할 뿐입니다.

    Registry editing has been disabled by your administrator

  5. 이 경우에는 [레지스트리 편집기] 자체를 사용한 레지스트리 편집 방법을 통한 레지스트리 편집 기능 제한을 제거하는 복원 작업은 불가능합니다.

  6. 좌우지간에, 이는 [레지스트리 편집기] 사용을 제한하는 정책을 제거하는 직접적인 레지스트리 편집으로 이를 해결할 수가 있습니다.


2. 로컬 그룹 정책 편집기를 사용한 레지스트리 편집기 되살리기

  1. 아래 열거한 [로컬 그룹 정책 편집기]와 이에 수반한 관리자 계정 액세스 권한으로 사용자는 [로컬 그룹 정책 편집기]를 통하여 [레지스트리 편집기] 옵션을 변경할 수 있습니다.

    Windows XP Professional, Windows Vista Ultimate, Windows Server 2003 또는 2008

  2. XP에서는 [시작]-[실행]에서, Vista에서는 [시작]의 검색 텍스트 입력창에 "GPEdit.msc"를 타자 후 엔터키를 눌러 [그룹 정책 편집기]를 엽니다.

  3. 아래 경로로 찾아 갑니다.

    User Configuration -> Administrative Templates -> System

  4. [Setting] 창에서 [Prevent access to registry editing tools] 옵션을 하이라이트합니다.

  5. 더블클릭으로 [setting] 대화를 엽니다.

  6. [Disabled] 또는 [Not Configured]를 선택합니다.

  7. [OK] 단추로 창을 닫습니다.

  8. RegEdit.exe를 실행하여 결과를 관찰합니다.

  9. 아직도 실행이 불가하면 시스템을 재시작하여 다시 시도합니다.


3. VBS Script로 레지스트리 편집기의 유무효화하기

  1. Doug Knox란 이가 [레지스트리 편집기]의 사용을 유효 또는 무효로 토글하는 VB script를 작성하였습니다.

    다운로드 :  regtools.vbs http://www.dougknox.com/security/scripts/regtools.vbs

  2. 다운로드하여 적당 위치에 압축을 해제 후, VBS 파일을 실행합니다.

  3. regtools.vbs란 VBS 파일은 [레지스트리 편집기]의  disabling/enabling 관련 값을 체크합니다.

  4. 만약에, 레지스트리 키가 없으면, [레지스트리 편집기]를 무효로 하는 키를 생성하고, 값이 있으면, 반대의 값으로 토글하여 설정합니다. 계속하여 사용자에게 로그오프하여 다시 로그온하거나, 아니면 시스템을 재시작할 것을 알려 줍니다.

  5. 이 스크립트가 변경을 가하는 레지스트리 키는 아래와 같습니다.

    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System.


4. Symantec의 UnHookExec.inf로 레지스트리 값을 기본값으로 재설정하는 방법

  1. 많은 경우, 이 [레지스트리 편집기]가 virus, worm 또는 Trojan에 의하여 사용자가 레지스트리의 변경을 못하도록 하는 것에 의하여 [레지스트리 편집기]가 무효로 될 수도 있습니다.  

  2. 이럴 경우 이는 보통은 shell\\open\\command 키의 하나 혹은 그 이상의 변경에 영향을 미칩니다.

  3. 예를 들어, exefile\\shell\\open\\command 키가 변조되면, 시스템이 어떤 .exe 파일을 실행하면  virus, worm 또는 Trojan의 의도로 가게 될 것입니다.

  4. 이러한 경우를 대비한 Symantec의 .inf 스크립트 툴이 레지스트리 값을 기본값으로 재설정하는 하기 위하여 사용되게 됩니다.

  5. 주의 : 소개하는 UnHookExec.inf는 모든  BAT, COM, EXE, PIF, REG 그리고 SCR 확장자와 관련된 레지스트리 키와 그 값을 기본값으로 모두 되돌리며, 더불어 레지스트리 편집 기능도 유효로 설정합니다. 

  6. 다운로드 링크입니다.

    Download the file UnHookExec.inf http://securityresponse.symantec.com/avcenter/UnHookExec.inf

  7. 다운로드-[바탕 화면]에 저장-마우스 우클릭하여 컨텍스 메뉴의 [설치]를 선택하여 설치합니다.

  8. 다른 화면 표시나 메시지는 없어도 효과는 바로 나타납니다.

  9. RegEdit.exe를 실행하여 결과를 음미합니다. 재부팅으로 효과가 나타날 수도 있습니다.



메시지가 03-19-2009 09:07 AM에 nompang에 의해 편집되었습니다.

메시지가 03-19-2009 10:43 AM에 nompang에 의해 편집되었습니다.