1.MRU: 가장 최근에 사용된 파일, 프로그램 등에 대한 정보 목록
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\OpneSaveMRU
최근 open 되거나 save 된 파일 목록 기록
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDig32\LastVisitedMRU
최근 실행 프로그램의 파일명과 open/save한 파일이 존재하는 폴더 path 저장
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\rRunMRU
[시작]->[실행]을 선택하여 실행된 명령어의 목록 저장
HKCU\Software\Microsoft\SearchAssistant\ACMRU
최근 검색한 내용 저장
2.Autorun Location: windows 시스템이 시작되는 동안 프로그램을 실행시키기 위한 레지스트리 키
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
windows 구동 시 실행되는 프로그램 목록(시작 프로그램)
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce(EX)
windows 구동 시 1회 실행된 후 삭제되는 프로그램 목록
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
windows 구동 시 실행되는 서비스 형태의 프로그램 목록
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
windows 구동 시 1회 실행된 후 삭제되는 서비스 형태의 프로그램 목록
3.Device 정보
HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR
USB 장치 정보 저장, HKLM\SYSTEM\MountedDevices를 참조하여 어떤 USB 장치가 어떤 드라이브에 mount 되어 있는지 확인 가능
HKLM\SYSTEM\MountedDevices
NTFS 파일 시스템에 의해 사용된 mount된 volume 목록 유지
'Forensic > 윈도우포렌식' 카테고리의 다른 글
레지스트리 포렌식(1) (0) | 2021.11.08 |
---|