포렌식 핵심 경로 가이드

레지스트리·파일시스템에서 반드시 확인해야 할 위치들. 클릭하여 경로 복사 후 해당 도구로 분석.

레지스트리 핵심 경로 (42)

SAM 하이브 5개 경로
SAM\Domains\Account\Users\Names\ 계정 정보
로컬 사용자 계정 이름 목록. 각 하위키 이름이 계정명.
✓ 확인사항:
  • 계정 목록 전체
  • 기본 RID 외 임의 추가 계정 의심
  • 이름이 공백/특수문자인 숨겨진 계정
레지스트리 도구로 분석
SAM\Domains\Account\Users\000001F4\F 계정 정보
Administrator(RID 500) 계정의 F 바이너리: LastLogon·암호변경·계정만료·ACB 플래그
✓ 확인사항:
  • 마지막 로그온 시각
  • 암호 마지막 변경
  • 비활성/일반계정 플래그
  • 로그온 실패 횟수
레지스트리 도구로 분석
SAM\Domains\Account\Users\000001F4\V 계정 정보
Administrator V 바이너리: 사용자명·전체이름·홈디렉터리·LM/NT 해시
✓ 확인사항:
  • 계정명 (UTF-16)
  • 전체 이름
  • 홈 디렉터리
  • 패스워드 해시 (Mimikatz 대상)
레지스트리 도구로 분석
SAM\Domains\Account\Users\<RID> 계정 정보
각 사용자별 폴더. RID 500=Admin, 501=Guest, 503=DefaultAccount, 504=WDAGUtility, 1000+=일반 사용자
✓ 확인사항:
  • 1000번 이상 RID 모두 분석
  • 관리자 그룹 멤버십
레지스트리 도구로 분석
SAM\Domains\Builtin\Aliases\Members\ 그룹
그룹별 멤버 SID. Administrators(00000220), Backup Operators 등
✓ 확인사항:
  • Administrators 멤버 SID
  • 권한 상승 흔적
레지스트리 도구로 분석
SYSTEM 하이브 10개 경로
ControlSet001\Control\ComputerName\ComputerName 시스템 정보
컴퓨터 이름 (호스트명)
✓ 확인사항:
  • 호스트명 = ComputerName 값
레지스트리 도구로 분석
ControlSet001\Control\TimeZoneInformation 시스템 정보
타임존 정보. Bias는 UTC 오프셋(분). 한국=-540.
✓ 확인사항:
  • Bias·ActiveTimeBias
  • TimeZoneKeyName
  • 시각 비교 기준
레지스트리 도구로 분석
Setup\PendingFileRenameOperations 시스템 정보
재부팅 시 파일 이름변경/삭제 예정. 멀웨어가 흔적 제거에 사용.
✓ 확인사항:
  • 삭제 예정 파일 확인
레지스트리 도구로 분석
ControlSet001\Services\ 서비스
모든 Windows 서비스. ImagePath, Start, Type 확인.
✓ 확인사항:
  • Start=2(자동) + 의심 ImagePath
  • svchost.exe -k 형태가 아닌 임의 EXE
  • 새로 추가된 서비스
레지스트리 도구로 분석
ControlSet001\Enum\USBSTOR\ USB·저장장치
USB 저장장치 (USB 메모리·외장하드) 연결 이력. 디스크 클래스 → 시리얼 번호.
✓ 확인사항:
  • 하위키 = VID&PID&Rev → 시리얼
  • FriendlyName
  • Mfg, Class, ClassGUID
  • 마지막 연결·제거 시각 (0066/0067 GUID Properties)
레지스트리 도구로 분석
ControlSet001\Enum\USB\ USB·저장장치
모든 USB 장치 (마우스·키보드·웹캠 포함)
✓ 확인사항:
  • 하위키 = VID&PID → 시리얼
  • HID 장치도 모두 추적
레지스트리 도구로 분석
MountedDevices USB·저장장치
마운트된 모든 디스크. \DosDevices\C: 등의 값에 디스크 시그니처·USB 시리얼.
✓ 확인사항:
  • 드라이브 레터 → 디스크 매핑
  • USB 마운트 흔적
  • VolumeGUID
레지스트리 도구로 분석
ControlSet001\Services\Tcpip\Parameters\Interfaces\<NIC GUID> 네트워크
네트워크 인터페이스 IP·서브넷·게이트웨이·DHCP 정보
✓ 확인사항:
  • IPAddress·DhcpIPAddress
  • DhcpServer (DHCP 정보)
  • DhcpNameServer
레지스트리 도구로 분석
ControlSet001\Control\BAM\State\UserSettings\<SID> 사용자 활동
Background Activity Moderator: 각 실행파일별 마지막 실행 시각 (Win10+)
✓ 확인사항:
  • 실행파일 경로 = 키 이름
  • 값(8B FILETIME) = 마지막 실행
레지스트리 도구로 분석
ControlSet001\Control\DAM\State\UserSettings\<SID> 사용자 활동
Desktop Activity Moderator: BAM과 유사
✓ 확인사항:
  • BAM과 함께 확인
레지스트리 도구로 분석
SOFTWARE 하이브 11개 경로
Microsoft\Windows NT\CurrentVersion 시스템 정보
Windows 버전·설치일·소유자·제품키 정보
✓ 확인사항:
  • ProductName
  • InstallDate (Unix sec)
  • RegisteredOwner
  • RegisteredOrganization
  • BuildLab
  • CurrentBuild·DisplayVersion
  • ProductId
레지스트리 도구로 분석
Microsoft\Windows\CurrentVersion\Run 자동실행
⚠️ 부팅 시 자동 실행 (모든 사용자). 멀웨어 지속성 1순위.
✓ 확인사항:
  • 모든 값의 경로 확인
  • 정상 EXE인지 디지털 서명 검증
  • 임시폴더·AppData 안의 의심 EXE
레지스트리 도구로 분석
Microsoft\Windows\CurrentVersion\RunOnce 자동실행
다음 부팅 시 1회만 실행. 멀웨어 인스톨러 흔적.
✓ 확인사항:
  • 값이 있다면 의심 (실행 후 자동 삭제됨)
레지스트리 도구로 분석
Microsoft\Windows\CurrentVersion\RunServices 자동실행
서비스 형태 자동 실행
✓ 확인사항:
  • Run과 동일 분석
레지스트리 도구로 분석
Microsoft\Windows NT\CurrentVersion\Winlogon 자동실행
⚠️ Winlogon 키. Userinit·Shell·System·VmApplet 변조 시 매우 위험.
✓ 확인사항:
  • Userinit 정상값: userinit.exe
  • Shell 정상값: explorer.exe
  • 다른 값 추가시 악성 의심
레지스트리 도구로 분석
Microsoft\Windows\CurrentVersion\Uninstall 프로그램
설치된 프로그램 목록. 사용자가 직접 제거할 수 있는 프로그램.
✓ 확인사항:
  • 하위키별 DisplayName·InstallDate·Publisher
  • InstallSource·UninstallString
레지스트리 도구로 분석
WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall 프로그램
32비트 프로그램 설치 목록 (64비트 Windows에서)
✓ 확인사항:
  • 위와 동일
레지스트리 도구로 분석
Microsoft\Windows NT\CurrentVersion\ProfileList 사용자 프로필
시스템의 모든 사용자 프로필 SID → 홈 디렉터리 매핑
✓ 확인사항:
  • 하위키 = SID
  • ProfileImagePath = C:\Users\<name>
  • ProfileLoadTimeHigh/Low (FILETIME)
레지스트리 도구로 분석
Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\<GUID> 네트워크
연결했던 Wi-Fi/유선 네트워크 프로필
✓ 확인사항:
  • ProfileName = SSID
  • DateCreated, DateLastConnected (SYSTEMTIME 16B)
  • NameType (0x47=무선)
레지스트리 도구로 분석
Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged 네트워크
네트워크 시그니처 (게이트웨이 MAC 기반)
✓ 확인사항:
  • DefaultGatewayMac (6B raw)
  • FirstNetwork
  • Description
레지스트리 도구로 분석
Microsoft\Cryptography 기타
MachineGuid: 시스템 고유 식별자 (텔레메트리 추적용)
✓ 확인사항:
  • MachineGuid 값 (UTF-16 UUID)
레지스트리 도구로 분석
NTUSER.DAT 하이브 11개 경로
Software\Microsoft\Windows\CurrentVersion\Run 자동실행
사용자별 자동실행. HKLM\Run과 함께 검사 필수.
✓ 확인사항:
  • SOFTWARE Run과 동일 분석
레지스트리 도구로 분석
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D9-9D70-0050568C5BB7}\Count 사용자 활동
⭐ UserAssist: 사용자가 실행한 프로그램 횟수·시각 (ROT13 인코딩)
✓ 확인사항:
  • ROT13 디코드 후 EXE 경로
  • 72B 바이너리: 실행 횟수·마지막 실행 시각
  • 창 포커스 시간
레지스트리 도구로 분석
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 사용자 활동
Win+R 실행 대화상자 입력 이력
✓ 확인사항:
  • a~ 값에 입력 명령
  • MRUList = 사용 순서
레지스트리 도구로 분석
Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths 사용자 활동
⭐ 탐색기 주소창에 직접 입력한 경로 (수동으로 폴더 접근)
✓ 확인사항:
  • url1~urlN 값
  • 민감 폴더 접근 흔적
레지스트리 도구로 분석
Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 사용자 활동
⭐ 최근 열람 파일 (확장자별 분류). 파일 접근의 핵심 증거.
✓ 확인사항:
  • 하위키 = .확장자
  • 각 값 = ShellLink 형식 (LNK 유사)
  • MRUListEx = 사용 순서
레지스트리 도구로 분석
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery 사용자 활동
⭐ Windows 검색창 입력 키워드
✓ 확인사항:
  • 0,1,2 등 숫자 값 = 검색어 (UTF-16)
  • MRUListEx = 순서
레지스트리 도구로 분석
Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU 사용자 활동
⭐ 파일 열기/저장 대화상자 이력 (각 확장자별)
✓ 확인사항:
  • 확장자별 하위키
  • PIDL 시리얼화 형식 (ShellItem 리스트)
레지스트리 도구로 분석
Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU 사용자 활동
마지막 방문 폴더 + 어떤 프로그램이 접근했는지
✓ 확인사항:
  • 실행파일명 + PIDL 경로
레지스트리 도구로 분석
Software\Microsoft\Internet Explorer\TypedURLs 웹 브라우저
IE/Edge 주소창에 직접 입력한 URL
✓ 확인사항:
  • url1 = 가장 최근
  • TypedURLsTime 키와 함께 시각 추적
레지스트리 도구로 분석
Volatile Environment 기타
사용자별 환경변수 (USERNAME·USERPROFILE·APPDATA 등)
✓ 확인사항:
  • USERNAME = 로그인한 사용자명
레지스트리 도구로 분석
Software\Microsoft\Windows\Shell\BagMRU 기타
⭐ ShellBag: 탐색기로 접근한 모든 폴더 (USB 폴더 포함)
✓ 확인사항:
  • 하위키 깊이 = 폴더 계층
  • 각 값 = 폴더 ShellItem
  • BagMRU와 Bags 함께 분석
레지스트리 도구로 분석
UsrClass.dat 하이브 2개 경로
Local Settings\Software\Microsoft\Windows\Shell\BagMRU 사용자 활동
⭐ 본격 ShellBag (NTUSER보다 더 상세). USB·네트워크 폴더 접근.
✓ 확인사항:
  • 하위키 계층 = 폴더 트리
  • 각 값 = ShellItem (생성/접근/수정 DOS 시각)
  • BEEF0004 확장 블록 (MFT 엔트리)
레지스트리 도구로 분석
Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository\Packages 사용자 활동
UWP 앱 설치 정보 (Windows 10+)
✓ 확인사항:
  • 하위키 = 패키지 식별자
  • 설치 시각·서명자
레지스트리 도구로 분석
Amcache.hve 하이브 3개 경로
Root\InventoryApplicationFile 실행 이력
⭐⭐⭐ 시스템에 한 번이라도 실행된 모든 PE의 영구 기록 (Win10+). 파일이 삭제되도 흔적 남음.
✓ 확인사항:
  • LowerCaseLongPath
  • FileId = 0000+SHA1 (앞 31.4MB)
  • LinkDate (PE 컴파일 시각)
  • Size·Publisher·Version
레지스트리 도구로 분석
Root\InventoryApplication 실행 이력
설치된 응용프로그램 인벤토리
✓ 확인사항:
  • Name·Publisher·InstallDate
레지스트리 도구로 분석
Root\InventoryDriverBinary 실행 이력
설치된 드라이버 인벤토리
✓ 확인사항:
  • 루트킷 드라이버 흔적
레지스트리 도구로 분석

파일시스템 핵심 경로 (52)

Windows 26개 경로
C:\Windows\System32\config\SAM 레지스트리 하이브
로컬 계정 정보·해시 (관리자/SYSTEM 권한 필요)
C:\Windows\System32\config\SECURITY 레지스트리 하이브
보안 정책·LSA 시크릿
C:\Windows\System32\config\SOFTWARE 레지스트리 하이브
시스템 설치 프로그램·네트워크·자동실행
C:\Windows\System32\config\SYSTEM 레지스트리 하이브
서비스·드라이버·USB·MountedDevices
C:\Users\<USER>\NTUSER.DAT 레지스트리 하이브
사용자별 자동실행·UserAssist·RecentDocs·ShellBag
C:\Users\<USER>\AppData\Local\Microsoft\Windows\UsrClass.dat 레지스트리 하이브
사용자별 ShellBag (상세)·UWP 앱
C:\Windows\AppCompat\Programs\Amcache.hve 레지스트리 하이브
⭐ 실행 파일 영구 기록 (Win10+)
C:\Windows\System32\winevt\Logs\Security.evtx 이벤트 로그
⭐ 보안 로그: 로그온(4624/4625), 권한(4672), 계정 변경(4720/4738)
C:\Windows\System32\winevt\Logs\System.evtx 이벤트 로그
시스템 로그: 서비스 설치(7045), 로그 삭제(1102/104)
C:\Windows\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx 이벤트 로그
PowerShell 스크립트 블록 로깅 (4103/4104)
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx 이벤트 로그
⭐⭐ Sysmon (설치된 경우): 프로세스(1)·네트워크(3)·이미지로드(7)·인젝션(8)
C:\Windows\Prefetch\*.pf 실행 추적
⭐⭐ Prefetch: EXE별 실행 횟수·최근 8회 시각·참조 파일
C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Recent\*.lnk 바로가기
⭐ 최근 파일 LNK: 대상 경로·MAC 주소·DroidBirth GUID
C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\*.automaticDestinations-ms JumpList
⭐ JumpList: 앱별 최근 파일·접근 횟수·시각·DroidBirth MAC
C:\Windows\INF\setupapi.dev.log USB 추적
⭐ USB 장치 최초 연결 시각 + 드라이버 설치
C:\$Recycle.Bin\<SID>\$I* 휴지통
⭐ 휴지통 메타: 원본 경로·삭제 시각·크기
C:\Users\<USER>\AppData\Local\Microsoft\Windows\Explorer\thumbcache_*.db 썸네일
⭐ 썸네일 캐시: 삭제된 이미지 흔적 (CMMM)
C:\Users\<USER>\AppData\Local\Microsoft\Edge\User Data\Default\History 브라우저
Edge 방문 이력 SQLite (Chrome epoch)
C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Default\History 브라우저
Chrome 방문 이력·다운로드·검색
C:\Users\<USER>\AppData\Roaming\Mozilla\Firefox\Profiles\*\places.sqlite 브라우저
Firefox 방문 이력·북마크 (Mozilla epoch)
C:\Windows\System32\sru\SRUDB.dat SRUM (자원 사용)
⭐ 앱별 네트워크 사용량·프로세스 시간 (ESE DB)
C:\$MFT MFT
⭐⭐ NTFS Master File Table: 모든 파일 메타데이터 (MAC 타임)
C:\$LogFile MFT
NTFS 트랜잭션 저널
C:\$Extend\$UsnJrnl:$J MFT
⭐ USN 변경 저널: 파일 생성/삭제/이름변경 기록
C:\pagefile.sys 스왑·하이버네이션
페이지 파일 — 메모리 일부가 디스크에 남음 (문자열 카빙 대상)
C:\hiberfil.sys 스왑·하이버네이션
⭐ 최대 절전 모드 메모리 덤프 (메모리 분석 가능)
Linux 14개 경로
/etc/passwd 사용자
사용자 목록 (해시는 /etc/shadow)
/etc/shadow 사용자
비밀번호 해시 (root 권한 필요)
/etc/group 사용자
그룹 목록 + 멤버
/home/<USER>/.bash_history 사용자 활동
⭐ bash 명령 이력
/var/log/auth.log 사용자 활동
⭐ 인증 로그: SSH·sudo·세션
/var/log/wtmp 사용자 활동
성공 로그인 이력 (last 명령)
/var/log/btmp 사용자 활동
실패 로그인 시도 (lastb)
/var/log/syslog 사용자 활동
시스템 로그 (Debian/Ubuntu)
/etc/crontab, /etc/cron.*/* 영구성
⭐ 시스템 cron 작업
/home/<USER>/.bashrc, .profile 영구성
사용자 셸 시작 스크립트
/etc/systemd/system/, /lib/systemd/system/ 영구성
⭐ systemd 서비스
/etc/rc.local 영구성
부팅 시 실행 스크립트 (오래된 시스템)
/etc/network/interfaces, /etc/netplan/ 네트워크
네트워크 설정
/var/log/journal/<UUID>/ 네트워크
⭐ systemd-journald 바이너리 로그
macOS 6개 경로
~/Library/Application Support/Knowledge/knowledgeC.db 사용자 활동
⭐ 앱 사용 이력·잠금/해제·Safari 히스토리
~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 사용자 활동
⭐ Gatekeeper 격리 이력 (다운로드 URL·시각)
/Library/Application Support/com.apple.TCC/TCC.db 사용자 활동
⭐ 권한 부여 이력 (Camera·Mic·Contacts 등)
~/Library/LaunchAgents/, /Library/LaunchAgents/, /Library/LaunchDaemons/ 영구성
⭐ 자동 시작 plist (.plist)
~/Library/Preferences/com.apple.loginitems.plist 영구성
로그인 항목 (UI 등록 자동시작)
/.fseventsd/*.gz 파일시스템
⭐ FSEvents: 파일시스템 모든 변경 이력 (gzip)
iOS 3개 경로
~/Library/Application Support/MobileSync/Backup/<UDID>/Manifest.db 백업
⭐ iTunes 백업 메타데이터 SQLite
<백업>/3d/3d0d7e5fb2ce288813306e4d4636395e047a3d28 메시지
⭐ sms.db (iMessage·SMS)
<백업>/12/12b144c0bd44f2b3dffd9186d3f9c05b917cee25 사진
Photos.sqlite (사진 메타)
Android 3개 경로
/data/data/com.android.providers.contacts/databases/contacts2.db 연락처
⭐ 연락처 + 통화기록 통합 DB
/data/data/com.android.providers.telephony/databases/mmssms.db 메시지
⭐ SMS·MMS
/data/misc/wifi/wpa_supplicant.conf 또는 WifiConfigStore.xml Wi-Fi
⭐ Wi-Fi SSID + 비밀번호 (root 권한 필요)