| 아티팩트 항목 | 경로 | 아티팩트 종류 | 비고 |
| 윈도우 마지막 로그온 실패 일시 |
SAM\Domains\Account\Users\RID(Relative Identifier) [F값] |
레지스트리 (SAM) |
|
| 윈도우 휴지통 사용자 |
C:\$Recycle.bin\SID |
윈도우 휴지통 |
|
| USB 연결 목록 (최초 또는 마지막 연결 시각) |
SYSTEM\ControlSet001\Enum\USBSTOR\[Device Class Identifier]\[Unique Instance Identifier]\Device Parameters\MediaChangeNotification |
레지스트리 (System) |
|
| USB 연결 목록 (마지막 연결 시각) |
SYSTEM\ControlSet001\Enum\USBSTOR\[Device Class Identifier]\[Unique Instance Identifier]\Device Parameters\Partmgr |
레지스트리 (System) |
|
| USB 연결 목록 (최초 연결 시각) |
SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt |
레지스트리 (Software) |
|
| USB 연결 목록 (볼륨명) |
SOFTWARE\Microsoft\Windows NT\CurrentVersion\EMDMgmt |
레지스트리 (Software) |
|
| USB 연결 목록 (최초 연결 시각) |
SOFTWARE\Microsoft\Windows Portable Devices\Devices\[Vendor ID & Product ID] |
레지스트리 (Software) |
|
| USB 연결 목록 (볼륨명) |
SOFTWARE\Microsoft\Windows Portable Devices\Devices\[Vendor ID & Product ID] |
레지스트리 (Software) |
|
| USB 연결 목록 (드라이브 문자) |
SOFTWARE\Microsoft\Windows Portable Devices\Devices\[Vendor ID & Product ID] |
레지스트리 (Software) |
|
| USB 연결 목록 (최초 연결 시각) |
C:\Windows\INF\setupapi.dev.log |
레지스트리 (Software) |
|
| USB 연결 목록 (마지막 연결 시각) |
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoint2\[GUID] |
레지스트리 (NTUSER.DAT) |
|
| USB 연결 목록 (연결, 연결 해제) |
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Partition%4Diagnostic.evtx |
윈도우 이벤트 로그 |
Event ID: 1006 |
| 프로그램 설치 내역 (경로, 사용자, 실행 파일, 설치일자 등) |
SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall |
레지스트리 (Software) |
|
| 32비트 프로그램 설치 내역 (경로, 버전 등) |
SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall |
레지스트리 (Software) |
|
| 프로그램 사용 흔적 (경로, 실행 횟수, 마지막 사용일시) |
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist |
레지스트리 (NTUSER.DAT) |
|
| 프로그램 사용 흔적 (경로) |
C:\Users\gdHong\AppData\Local\Microsoft\Windows\UserClass.DAT |
레지스트리 (UserClass.DAT) |
|
| 프로그램 사용 흔적 (경로) |
UserClass\Local Settings\MuiCache |
레지스트리 (UserClass.DAT) |
|
| 프로그램 사용 흔적 (실행 횟수, 실행 시각) |
C:\Windows\Prefetch |
프리페치 |
|
| 프로그램 사용 흔적 (실행 시각) |
C:\Windows\System32\winevt\Logs\System.evtx |
윈도우 이벤트 로그 |
Event ID: 7036 |
| IP 할당정보 (IP, 게이트웨이, 마지막으로 할당된 날짜, IP 할당 서버의 주소) |
SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\[GUID] |
레지스트리 (System) |
|