reg-bam-entries

윈도우 10 (빌드 1709 이상)의 BAM (Background Activity Moderator)이 SYSTEM 레지스트리 하이브 파일에 기록한 데이터에서 계정별 프로그램 실행 흔적을 추출합니다.

문법

reg-bam-entries [zipcharset=CHARSET] [zippath=ZIPFILE_PATH] FILE_PATH
필수 매개변수
FILE_PATH
레지스트리 파일 경로. 파일 경로에 와일드카드(*)를 사용하면 패턴과 일치하는 모든 파일을 한 번에 조회할 수 있습니다. zippath 옵션과 함께 사용하는 경우, ZIP 파일에 포함된 레지스트리 파일의 경로를 입력하십시오.
선택 매개변수
zipcharset=CHARSET
ZIP 엔트리 인코딩 형식 (기본값: utf-8). 다음 문서에 등록된 Preferred MIME Name이나 Aliases를 사용합니다: https://www.iana.org/assignments/character-sets/character-sets.xhtml
zippath=ZIPFILE_PATH
ZIP 파일의 경로

설명

명령을 실행한 다음 출력되는 필드 내용은 다음 표를 참조하십시오.

출력 필드

필드타입이름설명
_file문자열레지스트리 하이브 파일 이름예: SYSTEM
sid문자열프로그램을 실행한 계정의 SID예: S-1-5-18
file_name문자열실행 파일 이름예: cmd.exe
file_path문자열실행 파일 경로예: \Device\HarddiskVolume4\Windows\System32\cmd.exe
last_execution날짜최근 실행 일시

사용 예

  1. 윈도우 10의 SYSTEM 하이브 파일에서 BAM 아티팩트 조회

    reg-bam-entries D:\data\registry\SYSTEM