-
Local / Remote 환경에서 접근한 폴더 정보 기록 (CLI는 X)
-
HKCU\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\Bags
- 사용자가 특정 폴더 접근한 MAC 시간
a. 사용자가 접근한 폴더 순서 - MFT Entry Number
- Identifier
- 파일 명
- 폴더 별 GUID
- 폴더의 구조 (Bag MRU 하위의 경로. 0 - 1,2,(3) - 0 - 0 = > 0, 3, 0, 0의 디렉터리 구조)
Forensic/Security/IT