reg-recent-docs
NTUSER 레지스트리 하이브 파일에서 최근에 열어본 파일 목록을 조회합니다. Windows 탐색기에서 파일을 열 때 기록되는 RecentDocs 이력을 분석할 수 있습니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 미지원 |
문법
옵션
zippath=STR- 레지스트리 하이브 파일이 포함된 ZIP 파일 경로. 지정하면 ZIP 파일 내에서
PATH에 해당하는 파일을 읽습니다. zipcharset=STR- ZIP 파일 엔트리 인코딩 (기본값:
utf-8)
대상
PATH- NTUSER.DAT 레지스트리 하이브 파일 경로. 와일드카드(
*)를 사용하여 여러 파일을 지정할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
| _file | 문자열 | 원본 파일 이름 |
| file_name | 문자열 | 최근에 열어본 파일 이름 |
| file_ext | 문자열 | 파일 확장자. 확장자 구분 없는 전체 목록은 * |
| last_written | 날짜 | 레지스트리 키의 마지막 기록 시각 |
| order | 32비트 정수 | MRU(Most Recently Used) 목록에서의 순서 (0이 가장 최근) |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
해당 사항 없음
설명
reg-recent-docs 명령어는 NTUSER.DAT 레지스트리 하이브 파일에서 Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 키 하위의 항목을 파싱합니다. 이 키에는 사용자가 Windows 탐색기에서 열어본 파일의 이력이 확장자별 하위 키로 기록됩니다.
file_ext 필드는 해당 항목이 속한 확장자 그룹을 나타냅니다. RecentDocs 키 바로 아래에 있는 항목은 확장자 구분 없이 전체 최근 문서를 기록하며, 이 경우 file_ext 값이 *로 설정됩니다. order 필드는 MRU(Most Recently Used) 목록에서의 순서를 나타내며, 값이 작을수록 최근에 열어본 파일입니다.
포렌식 분석 시 NTUSER.DAT 파일은 일반적으로 C:\Users\{사용자명}\NTUSER.DAT 경로에 위치합니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
NTUSER.DAT 파일에서 최근 문서 이력 조회
reg-recent-docs /opt/logpresso/evidence/NTUSER.DAT지정된 NTUSER.DAT 파일에서 모든 최근 문서 이력을 조회합니다.
-
ZIP 파일 내 NTUSER.DAT에서 최근 문서 이력 조회
reg-recent-docs zippath=/opt/logpresso/evidence/registry.zip NTUSER.DATZIP 파일에 포함된 NTUSER.DAT 파일에서 최근 문서 이력을 조회합니다.
-
전체 최근 문서 목록을 최근 순으로 조회
reg-recent-docs /opt/logpresso/evidence/NTUSER.DAT | search file_ext == "*" | sort order확장자 구분 없는 전체 최근 문서 목록을 MRU 순서대로 조회합니다.
-
확장자별 최근 문서 통계 조회
reg-recent-docs /opt/logpresso/evidence/NTUSER.DAT | search file_ext != "*" | stats count by file_ext | sort -count확장자별로 최근에 열어본 파일 수를 집계합니다.
호환성
reg-recent-docs 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.