- 응용 프로그램 바인딩(확장자에 따른 기본 프로그램 정보) (HKCR)
- 네트워크 드라이브 매핑 정보, 환경 설정 값 (HKCU - Network)
- 윈도우 메일 계정 정보 (HKCU - Identities)
- 로그인한 사용자 소프트웨어 목록 (HKCU - Software)
- 로컬 계정 정보와 그룹 정보 (HKLM - SAM)
- 시스템 보안 정책과 권한 할당 정보 (HKLM - Security)
- 시스템 부팅에 필요 없는 시스템 전역 구성 정보 (HKLM - Software)
- 시스템 부팅에 필요한 시스템 전역 구성 정보 (HKLM - SYSTEM)
- 디바이스 드라이버 서비스 등의 시스템 환경 설정 정보 (HKLM - SYSTEM - Currentcontrolset)
- 사용자 프로파일 및 SID (HKU)
- 기본 시스템 정보 (HKLM - CurrentVersion)
운영체제 명 / 사용자 명 / 조직 이름 / 운영체제 식별자 / 운영체제 세부 버전 / 설치 날짜 - 컴퓨터 이름 (HKLM - ActiveComputerName)
- 마지막 종료 시간 (HKLM - SYSTEM - Windows) / + Dirty Shutdown Count
- 표준 시간대 (HKLM - TimeZoneInformation)
- 날짜 변경 흔적 (HKU - UserAssist - {75048700-EF1F-11D0-9888-006097DEACF9}\Count)
- 최근 열어본 파일 (HKU - SOFTWARE - Current Version - Applets - 응용프로그램 - Recent File List)
- 최근 실행한 명령어
- USB 마지막 연결 시각
- 마운트된 저장 장치
- 사용자 계정 생성 시각
- 원격 데스크탑 연결 정보
- 네트워크 드라이브 연결
- 이벤트 로그 설정 정보
- 공유 폴더 목록
- 네트워크 인터페이스 정보 (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkCards), ipconfig 정보
- 무선 랜 접속 정보 (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profile{GUID})
- 인터넷 History (HKU{USER}\SOFTWARE\Microsoft\Internet Explorer\TypedURLs)
- 최근 접근한 폴더 (HKU{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidMRU)
- UserAssist 제외
참고 자료
- 레지스트리 포렌식과 보안[김진국]
Forensic/Security/IT