Forensic Artifacts
-
Windows Registry
Registry Artifacts
Startup Services
Startup Services
- 로그온 한 사용자 상관없이 자동 실행되는 항목
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
서브 키인 Run은 시스템이 부팅될 때마다 실행, RunOnce는 한 번만 실행
-
- 신규 사용자가 로그인할 때마다
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
3. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 분석 후 실행
- 해당 사용자가 로그온 시 자동 실행되는 항목
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Startup Services
MiTeC Windows Registry Recovery 분석
- 실제 레지스트리 경로를 찾아가 자동 실행되는 항목 확인 (로그온 사용자 상관x)
- 실제 레지스트리 경로를 찾아가지 않고 자동 실행되는 항목 확인 가능 (로그온 사용자 상관x)
- 실제 레지스트리 경로를 찾아가 자동 실행되는 항목 확인 (해당 사용자 로그온)
- 실제 레지스트리 경로를 찾아가지 않고 자동 실행되는 항목 확인 가능 (해당 사용자 로그온)
