reg-opensave-files

NTUSER 레지스트리 하이브 파일에서 최근에 열어보거나 저장한 파일 목록을 조회합니다. Windows 공통 대화 상자(Open/Save 대화 상자)를 통해 접근한 파일의 이력을 분석할 수 있습니다.

명령어 속성

항목	설명
명령어 유형	드라이버 쿼리
필요 권한	클러스터 관리자
라이선스 사용량	집계함
병렬 실행	미지원
분산 실행	미지원

문법

reg-opensave-files [zippath=STR] [zipcharset=STR] PATH

옵션

zippath=STR: 레지스트리 하이브 파일이 포함된 ZIP 파일 경로. 지정하면 ZIP 파일 내에서 PATH에 해당하는 파일을 읽습니다.
zipcharset=STR: ZIP 파일 엔트리 인코딩 (기본값: utf-8)

대상

PATH: NTUSER.DAT 레지스트리 하이브 파일 경로. 와일드카드(*)를 사용하여 여러 파일을 지정할 수 있습니다.

출력 필드

필드	타입	설명
_file	문자열	원본 파일 이름
file_path	문자열	열거나 저장한 파일의 전체 경로
file_ext	문자열	파일 확장자
file_size	문자열	파일 크기 (예: `1.23MB`)
access_at	날짜	파일 접근 시각
created_at	날짜	파일 생성 시각
modified_at	날짜	파일 수정 시각
mft_entry_index	바이너리	NTFS MFT 엔트리 인덱스
ntfs_seq	16비트 정수	NTFS 시퀀스 번호
last_written	날짜	레지스트리 키의 마지막 기록 시각
order	32비트 정수	MRU(Most Recently Used) 목록에서의 순서 (0이 가장 최근)

오류 코드

파싱 오류

해당 사항 없음

런타임 오류

해당 사항 없음

설명

reg-opensave-files 명령어는 NTUSER.DAT 레지스트리 하이브 파일에서 Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU 키 하위의 항목을 파싱합니다. 이 키에는 Windows 공통 대화 상자(열기/저장 대화 상자)를 통해 사용자가 접근한 파일의 이력이 확장자별로 기록됩니다.

각 파일 항목에는 Shell Item ID List 형식으로 파일 경로, 크기, 타임스탬프, NTFS MFT 참조 정보가 포함됩니다. order 필드는 MRU(Most Recently Used) 목록에서의 순서를 나타내며, 값이 작을수록 최근에 접근한 파일입니다.

포렌식 분석 시 NTUSER.DAT 파일은 일반적으로 C:\Users\{사용자명}\NTUSER.DAT 경로에 위치합니다.

이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.

사용 예

각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.

NTUSER.DAT 파일에서 열기/저장 이력 조회
```
reg-opensave-files /opt/logpresso/evidence/NTUSER.DAT
```
지정된 NTUSER.DAT 파일에서 모든 열기/저장 이력을 조회합니다.
ZIP 파일 내 NTUSER.DAT에서 열기/저장 이력 조회
```
reg-opensave-files zippath=/opt/logpresso/evidence/registry.zip NTUSER.DAT
```
ZIP 파일에 포함된 NTUSER.DAT 파일에서 열기/저장 이력을 조회합니다.
특정 확장자 파일의 접근 이력을 최근 순으로 조회
```
reg-opensave-files /opt/logpresso/evidence/NTUSER.DAT
| search file_ext == "docx"
| sort order
```
.docx 확장자 파일의 열기/저장 이력을 MRU 순서대로 조회합니다.

호환성

reg-opensave-files 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.