Windows 7, Windows Server 2008
파일 시스템
- C:$MFT
- C:$LogFile
- C:$Extent$UsnJrnl:$J (ADS 파일)
프리패치
- C:\Windows\Prefetch
작업 스케쥴러
- C:\Windows\Tasks
- C:\Windows\system32\Tasks
ETC
- C:\Windows\system32\drivers\etc
USB 장치 로그
- C:\Windows\inf\setup.dev.log
WMI Repository
- C:\Windows\system32\Wbem\Repository
에러 리포팅
- C:\ProgramData\Microsoft\Windows\WER
- C:\Users\{User}\AppData\Local\Microsoft\Windows\WER
앰캐시(AmCache)
- C:\Windows\appcompat
레지스트리
- C:\Windows\system32\config
- C:\Users\{Users}\NTUSER.DAT, NTUSER.DAT.LOG1, NTUSER.DAT.LOG2
- C:\Users\{Users}\AppData\Local\Microsoft\Windows\UsrClass.dat
이벤트 로그
- C:\Windows\System32\winevt\Logs
최근 문서(LNK)
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent
점프 목록
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
시작 프로그램
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
빠른 실행
- C:\Users\{User}\AppData\Roaming\Microsoft\Internt Explorer\Quick Launch
파워셸
- C:\Users\{User}\AppData\Local\Microsoft\Windows\PowerShell
Windows 8, Windows Server 2012
파일 시스템
- C:$MFT
- C:$LogFile
- C:$Extent$UsnJrnl:$J (ADS 파일)
프리패치
- C:\Windows\Prefetch
작업 스케쥴러
- C:\Windows\Tasks
- C:\Windows\system32\Tasks
ETC
- C:\Windows\system32\drivers\etc
USB 장치 로그
- C:\Windows\inf\setup.dev.log
WMI Repository
- C:\Windows\system32\Wbem\Repository
에러 리포팅
- C:\ProgramData\Microsoft\Windows\WER
- C:\Users\{User}\AppData\Local\Microsoft\Windows\WER
앰캐시(AmCache)
- C:\Windows\appcompat
레지스트리
- C:\Windows\system32\config
- C:\Users\{Users}\NTUSER.DAT, NTUSER.DAT.LOG1, NTUSER.DAT.LOG2
- C:\Users\{Users}\AppData\Local\Microsoft\Windows\UsrClass.dat
이벤트 로그
- C:\Windows\System32\winevt\Logs
최근 문서(LNK)
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent
점프 목록
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
시작 프로그램
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
빠른 실행
- C:\Users\{User}\AppData\Roaming\Microsoft\Internt Explorer\Quick Launch
파워셸
- C:\Users\{User}\AppData\Local\Microsoft\Windows\PowerShell
SRUM
- C:\Windows\system32\sru
Windows 10, Windows Server 2016, Windows Server 2019
파일 시스템
- C:$MFT
- C:$LogFile
- C:$Extent$UsnJrnl:$J (ADS 파일)
프리패치
- C:\Windows\Prefetch
작업 스케쥴러
- C:\Windows\Tasks
- C:\Windows\system32\Tasks
ETC
- C:\Windows\system32\drivers\etc
USB 장치 로그
- C:\Windows\inf\setup.dev.log
WMI Repository
- C:\Windows\system32\Wbem\Repository
에러 리포팅
- C:\ProgramData\Microsoft\Windows\WER
- C:\Users\{User}\AppData\Local\Microsoft\Windows\WER
앰캐시(AmCache)
- C:\Windows\appcompat
레지스트리
- C:\Windows\system32\config
- C:\Users\{Users}\NTUSER.DAT, NTUSER.DAT.LOG1, NTUSER.DAT.LOG2
- C:\Users\{Users}\AppData\Local\Microsoft\Windows\UsrClass.dat
이벤트 로그
- C:\Windows\System32\winevt\Logs
최근 문서(LNK)
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent
점프 목록
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
시작 프로그램
- C:\Users\{User}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
빠른 실행
- C:\Users\{User}\AppData\Roaming\Microsoft\Internt Explorer\Quick Launch
파워셸
- C:\Users\{User}\AppData\Local\Microsoft\Windows\PowerShell
SRUM
- C:\Windows\system32\sru
타임라인
- C:\Users\{User}\AppData\Local\ConnectedDevicesPlatform\L.{User}\ActivitiesCache.db