| 아티팩트 항목 | 경로 | 아티팩트 종류 | 비고 |
| 윈도우 운영체제의 제품명 |
SOFTWARE\Microsoft\Windows NT\CurrentVersion\[Product Name] |
레지스트리 (Software) |
|
| 윈도우의 등록된 소유자 |
SOFTWARE\Microsoft\Windows NT\CurrentVersion\[RegisteredOwner] |
레지스트리 (Software) |
|
| 컴퓨터 이름 |
SYSTEM\ControlSet001\Services\Tcpip\Parameters\[Hostname] |
레지스트리 (System) |
|
| Software 레지스트리 |
C:\Windows\System32\Config\Software |
레지스트리 (Software) |
|
| System 레지스트리 |
C:\Windows\System32\Config\SYSTEM |
레지스트리 (System) |
|
| 윈도우 설치 시각 |
SOFTWARE\Microsoft\Windows NT\CurrentVersion\[InstallDate] |
레지스트리 (Software) |
|
| 볼륨 포맷 시각 |
C:\$MFT |
시스템 메타 데이터 파일 |
|
| 윈도우 마지막 종료 일시 |
SYSTEM\ControlSet001\Control\Windows\[ShutdownTime] |
레지스트리 (System) |
|
| 윈도우 마지막 로그아웃 일시 |
SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\[LastLoggedOnSAMUser] |
레지스트리 (Software) |
|
| 드라이브 문자 할당내역 |
SYSTEM\MountedDevices |
레지스트리 (System) |
|
| 디스크 시그너처 |
SYSTEM\MountedDevices\DosDevices\C: |
레지스트리 (System) |
|
| 디스크 시그너처 |
MBR |
예약된 영역 |
|
| 윈도우 사용자 계정명 |
C:\Users |
사용자 프로파일 |
|
| 윈도우 사용자 계정명 |
SAM\Domains\Account\Users\Names |
레지스트리 (SAM) |
|
| 윈도우 사용자 계정명 |
SAM\Domains\Account\Users\RID(Relative Identifier) [V값] |
레지스트리 (SAM) |
|
| 윈도우 마지막 로그온 일시 |
SAM\Domains\Account\Users\RID(Relative Identifier) [F값] |
레지스트리 (SAM) |
|
| 윈도우 마지막 패스워드 변경 일시 |
SAM\Domains\Account\Users\RID(Relative Identifier) [F값] |
레지스트리 (SAM) |
|
| 윈도우 로그온 횟수 |
SAM\Domains\Account\Users\RID(Relative Identifier) [F값] |
레지스트리 (SAM) |
|
| 윈도우 사용자 계정명 (전체 이름) |
SAM\Domains\Account\Users\RID(Relative Identifier) [V값] |
레지스트리 (SAM) |
|
| 윈도우 사용자 패스워드에 대한 암호화된 NT Manager Hash 값 |
SAM\Domains\Account\Users\RID(Relative Identifier) [V값] |
레지스트리 (SAM) |
|