참고탐지 행위는 V3 제품의 ASD 엔진에서 탐지한 의심 행위를 기반으로 파일, 프로세스, 네트워크, 시스템, 레지스트리에 대한 상세 행위를 확인할 수 있습니다. 탐지 행위에 대한 정보는 Known 상세 정보와 Unknown 상세 정보의 상세 정보에서 확인할 수 있습니다. 탐지 행위 내용은 지속적으로 업데이트됩니다.
탐지 행위에서 확인할 수 있는 주요 내용은 다음과 같습니다.
참고
기본 시스템의 운영체제 파일로 디지털 서명이 되어 있거나 예외 조건을 만족하는 경우 행위 로그를 남기지 않습니다.
파일에 대한 탐지 행위입니다. 파일에 대한 다음과 같은 행위가 발생할 경우 탐지합니다.
파일 생성: 의심스러운 프로세스가 시스템 부팅 시 실행되는 파일 경로나 시스템 루트에 파일을 생성하는 행위를 탐지합니다. 또는 네트워크 공유 폴더나 이동식 디스크로부터 복사된 파일을 생성하는 행위를 탐지합니다.
실행 파일 생성: 시스템의 다양한 경로(루트, Windows 시스템, 휴지통, IE 도구 모음, 자동 실행 경로등)에 실행 파일을 생성하는 행위를 탐지합니다. 생성되는 실행 파일 이름은 시스템 파일과 동일하게 생성되기도 하고, 잘 알려진 확장자가 포함된 실행 파일을 생성하기도 합니다.
파일 다운로드: Internet Explorer의 캐시 폴더에 의심스러운 실행 파일을 다운로드하는 행위를 탐지합니다.
파일 삭제: 실행 파일을 삭제하는 행위를 탐지합니다. 악성 행위를 한 후 흔적을 지우려는 시도일 수 있습니다.
파일 이름 변경: 실행 파일 이름 변경 행위를 탐지합니다. 악성코드가 정상 파일을 악성코드 파일로 교체하는 행위일 수 있습니다. 시스템 경로나 시스템 경로 이외의 파일을 시스템 파일명으로 변경하기도 하고,잘 알려진 확장자로 실행 파일 이름을 변경하기도 합니다.
파일 변조: 시스템의 다양한 경로(시스템 경로, 휴지통 경로, 시스템 루트 등)의 파일을 변경합니다. DLL 캐시 파일을 변경하여 복구를 어렵게 하거나, 악성 코드에 의해 변경된 파일이 악성 행위를 할 수 있습니다.
자가 복제: 자기 자신의 실행 파일을 시스템의 여러 위치(시스템 경로, 휴지통 경로, Windows 경로등)에 복제합니다. 시스템 경로에 위치하지 않은 파일이 시스템 파일명과 동일한 파일명으로 자신을 복제하기도 합니다. 악성코드가 자신을 특정 위치에 숨기기 위한 행위일 수 있습니다.
자가 삭제: 명령 프롬프트나 인젝션된 프로세스를 이용하여 자신을 실행하는데 사용한 파일을 삭제합니다. 악성 행위의 흔적을 지우기 위한 시도일 수 있습니다.
자가 이름 변경: 자신을 실행한 파일의 이름을 시스템 경로에 위치한 실행 파일 이름이나 잘 알려진 확장자로 변경합니다. 정상 파일로 위장하기 위한 악성 행위일 수 있습니다.
시스템 설정(파일) 변경: 시스템의 부팅 시 사용되는 설정 파일이나 제어판의 설정 정보 및 Internet Explorer 초기 설정 정보를 담고 있는 파일을 변경합니다.
Host 파일 변경: Hosts 파일 및 네트워크 연결 설정 파일을 변경합니다. 사용자 모르게 악성 사이트로 연결되어 피싱 위협에 노출될 수 있습니다.
자동 실행 설정 파일(Autorun.inf)생성: 자동실행 설정 파일(autorun.inf)을 생성합니다. 악성코드가 이를 악용하여 장치 인식만으로 악성 행위를 시작할 수 있습니다.
작업 스케줄 등록: 작업 스케줄러에 작업을 등록합니다. 특정한 시간에 악성코드가 실행될 수 있습니다.
MBR 데이터 기록: 운영 체제가 설치된 드라이브의 MBR(master boot record)정보를 변경하는 행위를 탐지합니다. 시스템 부팅을 조작하는 악성코드일 수 있습니다.
데이터 파일 다운로드: 웹에서 데이터 파일(cab,zip,doc등)을 다운로드하는 행위를 탐지합니다. 다운로드된 파일이 악성코드일 가능성이 있으므로 악성코드 검사가 필요합니다.
문서 파일 열기: 특정 프로세스가 MS Office 파일이나 다양한 미디어 파일 및 시스템의 정보 파일에 접근하는 행위를 탐지합니다.
다중 문서 파일 접근: 특정 프로세스가 다수의 문서 파일을 변경(이름 변경, 내용 변경, 삭제)하는 행위를 탐지합니다.
파일 속성 변경: 의심스러운 프로세스가 파일 속성을 변경하는 행위를 탐지합니다. 파일의 날짜를 변경하거나 숨김 파일, 시스템 파일로 속성을 변경하는 행위를 탐지합니다.
시스템 문서 접근: 특정 프로세스가 랜섬웨어가 주로 접근하는 Windows 샘플 그림 파일을 변경하는 행위를 탐지합니다.
다수의 문서 변조: 특정 프로세스가 다수의 문서 파일 변조를 시도하는 행위를 탐지합니다.
시스템 기본 문서 접근: 인젝션된 특정 프로세스가 랜섬웨어 유인을 위해 만든 디코이(Decoy) 파일을 변경하거나 Windows 샘플 그림 파일을 변경하는 행위를 탐지합니다.
문서 이름 변경: 특정 프로세스가 문서 파일 이름을 변경하는 행위, 문서 파일을 다른 파일로 덮어쓰는 행위, 문서 파일의 확장자를 변경하는 시도 행위를 탐지합니다.
디코이(Decoy) 2.0 파일 접근: 특정 프로세스의 Decoy 파일 접근 행위를 탐지합니다.
디코이(Decoy) 2.0 파일 변조: 특정 프로세스의 Decoy 파일 암호화를 위한 변조 행위를 탐지합니다.
디코이(Decoy) 2.0 파일 삭제: 특정 프로세스가 Decoy 파일을 원본 파일로 인식하여 파일을 삭제하는 행위를 탐지합니다.
바로가기 생성: 바로가기 파일을 생성하는 행위를 탐지합니다.
파일 다운로드: 파일 다운로드 행위를 탐지합니다.
실행 파일 은폐: 실행 파일을 은폐하는 행위를 탐지합니다.
PE 파일 생성: 25MB 이상의 PE 파일을 생성하는 행위를 탐지합니다.
PE 파일 이름 변경: 시스템 폴더에 있는 PE 파일의 이름이 변경되는 행위를 탐지합니다.
휴지통에 파일 생성: 휴지통에 파일이 생성되는 행위를 탐지합니다.
PE 파일 수정: 시스템 폴더에 있는 PE 파일을 변경하는 행위를 탐지합니다.
압축 파일 다운로드: 압축 파일을 다운로드하는 행위를 탐지합니다.
pdf 파일 다운로드: pdf 파일을 다운로드하는 행위를 탐지합니다.
class 파일 다운로드: class 파일을 다운로드하는 행위를 탐지합니다.
jar 파일 다운로드: jar 파일을 다운로드하는 행위를 탐지합니다.
파일 속성 변경: 파일 속성을 변경하는 행위를 탐지합니다.
디스크 정보 조회: 디스크 드라이브 정보에 접근하는 행위를 탐지합니다. 디스크 드라이브 정보의 조작이 발생할 수 있습니다.
쓰기로 디스크 접근: 쓰기 권한으로 디스크 드라이브 정보를 여는 행위를 탐지합니다. 디스크 드라이브를 조작하려는 시도일 수 있습니다.
문서 접근 탐지: 특정 프로세스가 문서 파일에 접근하여 문서 파일을 변경(파일 이름 변경, 내용 변경, 파일 삭제 등)하는 행위를 탐지합니다.
파일 접근 탐지: 특정 프로세스(cmd.exe)가 리디렉션 연산자를 이용하여 파일을 생성하거나 생성된 파일에 접근하는 행위를 탐지합니다.
파일 압축 해제: 압축 파일이 해제되는 행위를 탐지합니다.
디코이(Decoy) 파일 변경 탐지: 특정 프로세스가 랜섬웨어 유인을 위해 만든 디코이(Decoy) 파일을 변경하는 행위를 탐지합니다.
파일 삭제: 의심스러운 프로세스가 파일을 삭제하는 행위를 탐지합니다.
파일 변경: 의심스러운 프로세스가 시스템 루트(root) 경로의 파일을 변경하는 행위를 탐지합니다.
파일 이름 변경: 의심스러운 프로세스가 파일 이름을 변경하는 행위를 탐지합니다.
프로세스에 대한 탐지 행위입니다. 프로세스에 대한 다음과 같은 행위가 발생할 경우 탐지합니다.
프로세스 생성: Windows 명령 처리기나 명령 프롬프트가 net.exe를 실행하여 시스템에 사용자 계정을 추가하는 행위를 탐지합니다.
의심 프로세스(비정상적인) 실행: 정상 프로세스를 일반적인 프로세스 호출과 다른 비정상적인 방법으로 실행하는 행위를 탐지합니다. 취약성을 이용한 악성코드이거나, 프로세스를 이용한 자신의 은폐 행위일 수 있습니다.
의심 프로세스 실행: 의심스러운 방법으로 명령 프롬프트를 이용한 프로세스 실행을 탐지합니다. 취약성을 이용한 악성코드이거나, 프로세스를 이용한 자신의 은폐 행위일 수 있습니다.
DLL 로드: 신뢰할 수 없는 DLL 파일의 로드 행위를 탐지합니다.
의심 파일(DLL) 로드: 다른 프로세스의 실행(데이터 실행 방지 기능 해제, Windows 계정 정보 탈취등)을 유도하는 의심스러운 DLL 로드 행위를 탐지합니다.
프로세스 재귀 실행: 프로세스가 자기 자신을 실행하는 행위를 탐지합니다. 생성된 프로세스가 새로운 악성 행위를 할 수 있습니다.
프로세스 종료: 알 수 없는 프로세스가 정상 프로세스를 강제 종료하는 행위를 탐지합니다.
시스템에 대한 탐지 행위입니다. 시스템에 대한 다음과 같은 행위가 발생할 경우 탐지합니다.
드라이버 로드: 특정 API를 호출하여 드라이버를 로드하는 행위를 탐지합니다. 자신을 은폐하고 지속적인 악성 행위를 하는 악성코드일 수 있습니다.
인젝션 수행: 메모리나 DLL에 인젝션을 수행하는 행위를 탐지합니다. 악성코드가 인젝션 대상에 악성 행위를 할 수 있습니다.
자식 프로세스(메모리에) 쓰기: 특정 프로세스가 자식 프로세스의 메모리 영역에 다른 데이터를 덮어쓰는 의심 행위를 탐지합니다. 악성코드가 악성코드를 드롭하는 행위일 수 있습니다.
자기 프로세스(메모리에) 쓰기: 특정 프로세스가 자기 자신과 동일한 이름의 프로세스 메모리 영역에 다른 데이터를 덮어쓰는 의심 행위를 탐지합니다.
다른 프로세스(메모리에) 쓰기: 다른 프로세스 메모리 영역에 실행 파일 이미지(PE)를 쓰는 행위를 탐지합니다. 악성코드가 대상 프로세스에 악성 행위를 할 수 있습니다.
물리(메모리) 객체 열기: 할당되지 않은 디스크 영역에 데이터를 씁니다. 악성코드가 자기 자신을 은폐하기 위해 할당되지 않은 디스크 영역에 데이터를 숨깁니다.
프로세스 열기: 프로세스의 핸들을 획득하기 위해 API를 호출하는 행위를 탐지합니다.
디버그 권한 획득: 디버그 권한을 획득하는 행위를 탐지합니다. 대상 프로세스에 대한 악성 행위를 하는 악성코드일 수 있습니다.
가상 환경(디버그 모드) 감지: 자신의 실행 환경이 가상 환경의 디버그모드인지 확인하는 행위를 탐지합니다. 가상환경에서 실행하지 않는 악성코드일 수 있습니다.
가상 환경 감지: 실행 프로그램이 가상 환경을 탐지하는 행위를 탐지합니다. 가상 환경으로 판단되면 실행하지 않는 악성코드일 수 있습니다.
사용자(모드) API 호출 탐지: 사용자 모드에서 특정한 용도(로컬 IP 주소 변경, 부팅 시간 확인, 중요 프로세스 종료등)를 위한 API가 호출된 것을 탐지합니다. 악성코드가 악성 행위를 하기 위해 API를 호출한 것일 수 있습니다.
Mutex 통신: 프로세스 간 통신을 위해 Mutex를 생성하거나 오픈하는 행위를 탐지합니다.
MailSlot 통신: MailSlot을 이용한 프로세스 간 통신 시도를 탐지합니다.
Pipe 통신: 이름이 있거나 이름이 없는 Pipe를 시용하여 프로세스간 통신하는 행위를 탐지합니다.
콜 스택(Callstack) 외부 API 호출: 콜 스택 외부 영역에서 비정상적인 API 호출이 발생하는 행위를 탐지합니다. 취약점을 이용한 악성 행위일 수 있습니다.
유휴 프로세스 전환: 프로세스가 유휴(Sleep이나 일시 중지 상태) 상태로 전환하는 행위를 탐지합니다. 특정 시점에 악성 행위를 시도하거나, 분석을 회피하려는 목적일 수 있습니다.
키 로깅: 키보드 입력을 가로채는 프로세스가 탐지합니다. 사용자의 정보를 유출하는 악성코드일 수 있습니다.
문서 취약점 공격: 특정 프로세스가 Acrobat Reader나 특정 문서 프로그램의 취약점을 이용한 Exploit 공격을 시도하는 행위를 탐지합니다.
네트워크에 대한 탐지 행위입니다. 네트워크에 대한 다음과 같은 행위가 발생할 경우 탐지합니다.
대용량 트래픽 발생(DDOS): 임계치를 초과하는 비정상적인 네트워크 트래픽이 탐지합니다. 악성코드에 의한 악성 행위일 수 있습니다.
네트워크 연결: 인터넷 연결 이력이 없는 IP 주소에서 처음으로 인터넷에 연결되는 행위를 탐지합니다. 인터넷 연결이 필요없는 시스템에서 발생한 이벤트라면 악성 행위일 수 있으므로 주의가 필요합니다.
비정상적인(네트워크) 패킷: 알려진 서비스 포트에서 비정상적인 프로토콜을 사용하는 네트워크 패킷을 탐지합니다. 사용자 모르게 컴퓨터에 악의적인 접근이 발생할 수 있습니다.
UDP 데이터 전송: UDP 통신으로 데이터를 전송하는 행위를 탐지합니다. 사용자 정보를 유출하는 악성코드일 수 있습니다.
DNS 질의: DNS 서버에 도메인 이름을 질의하는 행위를 탐지합니다. 악성 봇에 의한 C&C 연결 시도일 수 있습니다.
TCP 연결 요청 수락: 사용자 PC로 들어오는 TCP 연결을 허용하는 행위를 탐지합니다. 사용자 모르게 시스템에 접근해 악성 행위를 할 수 있습니다.
TCP 데이터 전송: TCP 통신으로 데이터를 전송하는 행위를 탐지합니다. 사용자 정보를 유출하는 악성코드일 수 있습니다.
TCP 포트 열기: 외부에서 접근이 가능하도록 TCP 포트를 오픈하는 행위를 탐지합니다. 사용자 모르게 시스템에 접근해 악성 행위를 할 수 있습니다.
UDP 포트 열기: 외부에서 접근이 가능하도록 UDP 포트를 오픈하는 행위를 탐지합니다. 사용자 모르게 시스템에 접근해 악성 행위를 할 수 있습니다.
데이터 전송: 프로그램에 의한 데이터 전송 행위가 탐지합니다. 사용자 정보를 유출하는 악성코드일 수 있습니다.
레지스트리에 대한 탐지 행위입니다. 레지스트리에 대한 다음과 같은 행위가 발생할 경우 탐지합니다.
자동 실행 등록: 시스템을 시작할 때 프로그램을 자동으로 실행하도록 등록하는 행위를 탐지합니다. 이것은 악성코드를 실행하는 취약성으로 자주 사용됩니다. 악성코드가 시작 프로그램으로 등록되면 지속적인 악성 행위를 할 수 있습니다.
화면 보호기 등록: 화면보호기가 실행할 파일(*.scr)의 경로를 변경하는 행위를 탐지합니다. 조작된 SCR 파일은 악성코드를 실행하는데 사용될 수 있습니다.
자동 실행 등록: 시스템을 시작할 때 사용 빈도가 낮은 프로그램이 자동 실행하도록 레지스트리를 변경하는 행위를 탐지합니다. 일반적인 행위가 아니므로 악성코드일 가능성이 높습니다. 악성코드가 시작 프로그램으로 등록되면 지속적인 악성 행위를 할 수 있습니다.
Internet Explorer 브라우저 도우미 객체 등록: Internet Explorer의 브라우저 도우미 객체(BHO, Browser Helper Object)를 생성하는 행위를 탐지합니다. 악성코드를 포함한 BHO는 사용자 모르게 악성 행위를 할 수 있습니다.
Internet Explorer 도구 모음 등록: Internet Explorer 도구 모음에 툴바를 등록하는 행위를 탐지합니다. 사용자가 인터넷 사용 중 불편을 겪을 수 있습니다. 사용자 동의없이 설치된 도구 모음은 Internet Explorer의 도구 > 추가 기능 관리에서 제거할 수 있습니다.
Internet Explorer 검색 설정 변경: Internet Explorer의 검색 공급자 설정을 변경하는 행위를 탐지합니다. 검색 결과가 조작되거나, 사용자가 의도하지 않은 결과가 발생할 수 있습니다.
Internet Explorer 시작 페이지 변경: Internet Explorer의 시작 페이지를 변경하는 행위를 탐지합니다. Internet Explorer 사용에 불편을 겪을 수 있습니다.
Internet Explorer 고급 설정 변경: Internet Explorer의 고급 설정(프록시 설정, 쿠키 삭제, 시작 페이지 설정등)을 변경하는 행위를 탐지합니다. 변경된 설정을 사용자가 인식하기 어렵고, 보안 수준이 낮아짐으로써 인터넷 사용 중 위협에 노출될 수 있어 위험합니다.
Internet Explorer 보안 설정 변경: Internet Explorer의 보안 설정(서명 확인, 안전하지 않은 파일 실행, SmartScreen 필터 설정 등)을 변경하는 행위를 탐지합니다. 인터넷 사용 중 위협에 노출될 수 있어 위험합니다.
Internet Explorer 확장 프로그램 변경: Internet Explorer의 확장 프로그램을 변경하는 행위를 탐지합니다. 사용자가 인터넷 사용 중 불편을 겪을 수 있습니다. 사용자 동의없이 설치된 확장 프로그램은 Internet Explorer의 "도구 > 추가 기능 관리"에서 제거할 수 있습니다.
Internet Explorer 팝업 설정 변경: Internet Explorer의 팝업 메시지 차단 설정을 변경하는 행위를 탐지합니다. 사용자가 원하지 않는 팝업에 노출될 수 있습니다.
보안 수준 변경: 레지스트리를 수정하여 보안 수준을 변경하는 행위를 탐지하는 행위를 탐지합니다. 보안 수준이 낮아지고 다양한 네트워크 보안 설정(방화벽 정책, TCP/IP 통신, Windows 자동 업데이트, 시스템 복원등)이 변경되는 행위는 위협에 노출될 수 있어 주의가 필요합니다.
프로그램 은폐 설정: 프로그램을 은폐하도록 레지스트리를 등록하는 행위를 탐지합니다. 로컬 보안 설정 변경(LSA), IE 설정 변경 및 Windows 자동 업데이트 설정등을 변경합니다. 일반적인 방법으로는 은폐된 프로그램을 인식할 수 없으므로 지속적인 악성 행위를 할 수 있습니다.
WinSock2(통신) 설정 변경: WinSock2 통신 설정을 변경하는 행위를 탐지합니다. 악성코드가 이 레지스트리를 변조해 치료를 어렵게 할 수 있습니다.
인터넷 옵션의 보안 영역 수준 변경: 특정 프로토콜(FTP, HTTP, HTTPS)에 사용하는 기본 보안 영역을 낮은 보안 수준으로 변경하는 행위를 탐지합니다. 인터넷 사용 중 위협에 노출될 수 있어 위험합니다.
자동 실행 설정 변경: CD/USB 드라이브 장치를 포함한 기타 장치의 자동 실행 설정을 변경하는 행위를 탐지합니다. 신뢰할 수 없는 프로그램이나 악성코드가 자동으로 실행 되어 위협에 노출될 수 있습니다.
쉘 폴더 변경: 시작 프로그램에 등록된 바로가기 아이콘이 저장된 폴더를 변경하는 행위를 탐지합니다.
파일 이름 변경: 시스템을 시작할 때 파일 이름을 변경하도록 레지스트리에 등록하는 행위를 탐지합니다. 악성코드가 자신을 은폐하려는 행위일 수 있습니다.
재귀적 자동 실행: 자신을 자동 실행하도록 등록하는 행위를 탐지합니다. 등록 과정은 정상적이지만 악성코드일 가능성이 높습니다. 시스템 시작과 동시에 지속적인 악성 행위를 할 수 있습니다.
비정상적 자동 실행: 비정상적인 방법으로 자신을 자동 실행하도록 등록하는 행위를 탐지합니다. 악성코드일 가능성이 높습니다. 시스템 시작과 동시에 지속적인 악성 행위를 할 수 있습니다.
서비스로 등록: 악성코드가 시스템 프로세스 svchost.exe를 통해 자신을 실행하도록 등록하는 행위를 탐지합니다. 자신의 동작을 은폐하고 지속적인 활동을 하기 위해 사용합니다.
화면보호기 등록: 화면보호기를 통해 자신을 실행하도록 등록하는 행위를 탐지합니다. 악성코드일 가능성이 높습니다. 시스템 시작과 동시에 지속적인 악성 행위를 할 수 있습니다.
Internet Explorer 도구 모음 등록: 자신을 Internet Explorer의 도구 모음으로 등록하는 행위를 탐지합니다. 악성코드일 가능성이 높습니다. Internet Explorer 실행 시 자동으로 실행되어 지속적인 악성 행위를 할 수 있습니다.
네트워크 속성(연결) 변경: 네트워크 어댑터의 연결 속성(게이트웨이, DNS 주소 등)을 변경하는 행위를 탐지합니다. 네트워크 연결을 조작하거나 악성 행위를 할 수 있습니다.
Internet Explorer BHO 등록: 자신을 Internet Explorer의 브라우저 도우미 객체(BHO, Browser Helper Object)로 등록하는 행위를 탐지합니다. 악성코드일 가능성이 높습니다. Internet Explorer 실행 시 자동으로 실행되어 지속적인 악성 행위를 할 수 있습니다.
파일(DLL/드라이버) 서비스 등록: 레지스트리를 변경하여 DLL/드라이버 파일을 서비스로 등록하는 행위를 탐지합니다. 이 파일은 시스템 프로세스인 svchost.exe에 의해 실행됩니다. 악성코드가 자신을 은폐하고 지속적인 악성 행위를 시도하기 위해 사용합니다.
셸 실행 등록: 특정 파일 형식이나 프로토콜을 자신과 연결하는 행위를 탐지합니다. Windows 취약점을 이용한 권한 상승을 목적으로 레지스트리 키(HKCR) 하위의 특정 정보를 변경하여 특정 확장자의 파일이 실행되면서 악성코드가 실행될 수 있습니다.
Internet Explorer 페이지 접근: Internet Explorer의 열어본 페이지(자동 완성, 히스토리등) 목록에 접근하는 행위를 탐지합니다. 사용자의 인터넷 사용 내역이 노출될 수 있습니다.
JIT(디버거 설정) 삭제: 프로그램 오류 시 실행되는 JIT 디버거 설정을 제거하는 행위를 탐지합니다. 악성코드의 분석을 어렵게 할 목적으로 이뤄지는 행위일 수 있습니다.
프로그램 설치(정보) 등록: 모든 사용자 계정 또는 현재 사용자만 사용할 수 있는 프로그램의 설치 정보 등록을 탐지합니다.
계정 정보 접근 탐지(Outlook): 특정 프로세스가 Outlook 계정 정보 레지스트리에 접근하는 행위를 탐지합니다.
레지스트리 키 생성: 의심스러운 프로세스가 레지스트리 키를 생성하는 행위를 탐지합니다.
레지스트리 키 삭제: 의심스러운 프로세스가 레지스트리 키를 삭제하는 행위를 탐지합니다.
레지스트리(키) 값 설정: 의심스러운 프로세스가 레지스트리 키 값을 등록하는 행위를 탐지합니다.
레지스트리(키) 값 삭제: 의심스러운 프로세스가 레지스트리 키 값을 삭제하는 행위를 탐지합니다.
레지스트리 키 열기: 의심스러운 프로세스가 레지스트리 키를 여는 행위를 탐지합니다.