reg-bam-entries
SYSTEM 레지스트리 하이브 파일에서 마지막 프로그램 실행 시각을 기록한 BAM (Background Activity Moderator) 항목을 조회합니다. BAM은 Windows 10 버전 1709 이상에서 백그라운드 프로그램의 실행 이력을 추적하는 서비스입니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 미지원 |
문법
옵션
zippath=STR- 레지스트리 하이브 파일이 포함된 ZIP 파일 경로. 지정하면 ZIP 파일 내에서
PATH에 해당하는 파일을 읽습니다. zipcharset=STR- ZIP 파일 엔트리 인코딩 (기본값:
utf-8)
대상
PATH- SYSTEM 레지스트리 하이브 파일 경로. 와일드카드(
*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
| _file | 문자열 | 원본 파일 이름 |
| sid | 문자열 | 프로그램을 실행한 사용자의 SID |
| file_name | 문자열 | 실행된 프로그램의 파일 이름 |
| file_path | 문자열 | 실행된 프로그램의 전체 파일 경로 |
| last_execution | 날짜 | 마지막 프로그램 실행 시각 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
해당 사항 없음
설명
reg-bam-entries 명령어는 Windows SYSTEM 레지스트리 하이브 파일에서 ControlSet001\Services\bam\UserSettings 키 하위의 BAM 항목을 파싱합니다. BAM은 Windows 10에서 백그라운드 활동을 관리하는 서비스로, 각 사용자가 실행한 프로그램의 마지막 실행 시각을 기록합니다.
포렌식 분석 시 SYSTEM 하이브 파일은 일반적으로 C:\Windows\System32\config\SYSTEM 경로에 위치합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
SYSTEM 하이브 파일에서 BAM 항목 조회
reg-bam-entries /opt/logpresso/evidence/SYSTEM지정된 SYSTEM 하이브 파일에서 모든 BAM 항목을 조회합니다.
-
ZIP 파일 내 SYSTEM 하이브에서 BAM 항목 조회
reg-bam-entries zippath=/opt/logpresso/evidence/registry.zip SYSTEMZIP 파일에 포함된 SYSTEM 하이브 파일에서 BAM 항목을 조회합니다.
-
BAM 항목에서 특정 사용자의 실행 이력 필터링
reg-bam-entries /opt/logpresso/evidence/SYSTEM | search sid == "S-1-5-21-*" | sort -last_executionBAM 항목을 조회한 후 특정 SID 패턴에 해당하는 사용자의 프로그램 실행 이력을 최근 순으로 정렬합니다.
호환성
reg-bam-entries 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.