- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
- 최근 실행한 문서, 그림, 동영상 등의 파일

- MRUListEx 키 값을 통해 열어본 순서 확인 가능

- HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
- “시작” – “실행” 또는 “Ctrl + R”을 통해 실행한 명령 목록

- 최근 실행한 명령 순서는 MRUList 알파벳 순서

- HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVistitedPidMRU
- 탐색기를 통해 열어본 폴더 목록

- MRUListEx 키 값을 통해 열어본 순서 확인 가능

- HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU
- 탐색기를 통해 열어보거나 저장한 파일 목록

- 실제 레지스트리 경로를 찾아가 최근 실행한 폴더 및 문서 정보 확인

- RecentFiles View 프로그램을 활용하여 최근 실행한 폴더 및 문서 정보 확인

- 최근 실행한 폴더 및 문서의 MAC Time을 확인하여 실행 순서 파악 가능

- 실제 레지스트리 경로를 찾아가 최근 실행 창에 입력한 명령 목록 파악

- 실제 레지스트리 경로를 찾아가 탐색기를 통해 열어보거나 저장한 파일 목록 확인

- Opensavefilesview 프로그램을 활용하여 탐색기를 통해 열어보거나 저장한 파일 분석

- OpenSaveFile 프로그램에 기록된 파일의 MAC Time을 확인하여 실행 순서 파악 가능

- 실제 레지스트리 경로를 찾아가 탐색기를 통해 열어본 폴더 목록 확인

- Lastactivityview 프로그램을 활용하여 사용자의 시스템 사용 흔적 분석

- 열어본 폴더 목록, 설치된 응용프로그램, 실행된 파일, 서비스 실행 등 사용자의 흔적을 확인할 수 있어
RecentDocs, OpenSavepidMRU, ShellBag, Prefetch 등과 같은 아티팩트 분석에 유용