레지스트리 포렌식

디지털 포렌식 수사 기법

RDP Connection

RDP Connection

- 원격 데스크탑 연결 정보
- HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Default

- 원격 데스크탑 연결 정보
- HKU\{USER}\SOFTWARE\Microsoft\Terminal Server Client\Servers

- 네트워크 드라이브 연결 정보
- HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrnetVersion\Explorer\Map Network Drive MRU

- 사용자가 시스템에 추가한 Volume
- HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrnetVersion\Explorer\MountPoints2\{GUID}

- CPC\Volume의 하위 키를 통해 마운트된 볼륨 확인

- 마운트된 저장장치 (HKLM\SYSTEM\MountedDevices) 정보와 연결하여 마운트한 사용자 확인