자주보는 Registry 경로

Posted Apr 9, 2023 Updated Apr 24, 2023

By dotaky99

1 min read

분석 시 도움이 되는 레지스트리 경로 모음. 운영체제 별로 구분울 두지는 않음. 필요시 각 레지스트리 별로 간단한 이론 작성 예정. 현재는 주요 레지스트리만 작성되어있음.

레지스트리 하이브 별 경로

SOFTWARE

OS 정보

SOFTWARE\Microsoft\WindowsNT\CurrentVersion

타임존

SYSTEM\ControlSet00x\Control\TimeZoneInformation

사용자 프로필

SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList{SID}

마지막 사용자 이력

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\LastUsedUsername

사용자별 기본 폴더

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

설치된 프로그램

SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

실행 이력

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

SYSTEM

PC 이름

SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName

마지막 종료시간

SYSTEM\ControlSet00x\Control\Windows\ShutdownTime

USB

SYSTEM\ControlSet\Enum\USBSTOR
%SystemRoot%\INF\Setupapi.dev.log(설치관련 파일저장)
SYSTEM\ControlSet\Enum\USB
SOFTWARE\Microsoft\Windows Portable Device\Device
SYSTEM\CurrentControlSet\Control\DeviceClasses{GUID}
HKU{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
- 마지막 연결 시간

NTUSER.DAT

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

SAM

사용자 정보

SAM\SAM\Domain\Account\Users{RID}
- F, V 값 저장
SAM\SAM\Domain\Account\Users\Names{Accounts}

카테고리 별 경로

사용자 정보

사용자 정보

SAM\SAM\Domain\Account\Users{RID}
- F, V 값 저장
SAM\SAM\Domain\Account\Users\Names{Accounts}

사용자별 기본 폴더

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders

사용자 프로필

SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList{SID}

마지막 사용자 이력

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\LastUsedUsername

PC, OS 정보

PC 이름

SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName

마지막 종료시간

SYSTEM\ControlSet00x\Control\Windows\ShutdownTime

OS 정보

SOFTWARE\Microsoft\WindowsNT\CurrentVersion

타임존

SYSTEM\ControlSet00x\Control\TimeZoneInformation

마지막 종료시간

SYSTEM\ControlSet00x\Control\Windows\ShutdownTime

프로그램

설치된 프로그램

SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

실행 이력

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
SYSTEM\ControlSet00x\Control\SessionManager\AppCompatCache

폴더 접근

SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags

파일 열람

NTUSER.DAT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

DFIR, Log and Artifacts

This post is licensed under CC BY 4.0 by the author.

Recently Updated

Trending Tags

artifacts digital forensic incident response log rdp 로그 아티팩트 윈도우 포렌식 CVE-2020-1473 etc

Contents

Trending Tags

artifacts digital forensic incident response log rdp 로그 아티팩트 윈도우 포렌식 CVE-2020-1473 etc

A new version of content is available.