[ Registry 포렌식 ] 주요 레지스트리 키 정리

이름	경로	설명
Muicache	HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache	의도적으로 지우지 않으면 삭제될 일이 거의 없다.
BagMRU	HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU	열었던 폴더에 대한 기록이 주된 기록이다. 트리 형태이며 툴을 써서 보는게 편하다.
UserAssist	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist	최근에 실행한 프로그램 목록, 마지막 실행 시간, 실행 횟수 등이 기록이 되어있고 rot13으로 해독해야한다.
OpenSave PidlMRU	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU	다른 이름으로 저장을 하거나 사용자가 파일을 열었을 때 생성된다.
LastVisitedPidlMRU	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU	사용한 응용 프로그램과 해당 응용 프로그램이 파일을 여는 데 사용한 마지막 경로.
Store	HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store	프로그램 호환성 및 설치관리자에 대한 레지스트리 (Windows 8 이상)
Persisted	HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted	프로그램 호환성 및 설치관리자에 대한 레지스트리 (Windows 7)
UnInstall	HKEY_LOCAL_MACHINE₩SOFTWARE₩Microsoft₩Windows₩CurrentVersion₩UnInstall	설치된 프로그램 목록
RunMRU	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU	'실행'에서 실행된 최근 프로그램 (WIndows + R)
AppCompatCache	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache	응용 프로그램 간 호환성을 제어하고 트러블슈팅과 문제 해결을 위해 만든 파일 툴로 보는게 효율적
bam	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam	어떤 사용자가 응용프로그램을 사용했는지 식별할 수 있음. (Windows 10 1709 이상)
Run	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run	Windows가 시작될 때 같이 켜지는 프로그램들
RunOnce	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce	Run과 비슷하나 Once는 딱 한 번만 실행된다.
USBSTOR	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR	컴퓨터에 연결된(됐었던) 모든 USB저장소
RecentDocs	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs	최근 열었던 파일,폴더 목록
Terminal Server Client	HKEY_USERS\[SID]\Software\Microsoft \Terminal Server Client\Default	mstsc를 이용한 원격접속