reg-shellbags

NTUSER 레지스트리 하이브 파일에서 Windows 탐색기를 통해 최근에 접근한 폴더 이력을 조회합니다. ShellBags는 사용자가 탐색기에서 폴더를 열 때 기록되는 레지스트리 데이터로, 폴더 접근 시각과 경로 정보를 포함합니다.

명령어 속성

문법

옵션

zipcharset=STR

ZIP 파일 엔트리의 문자 인코딩. IANA 문자 집합 레지스트리에 등록된 Preferred MIME Name이나 Aliases를 사용합니다. (기본값: utf-8)

zippath=STR

ZIP 파일 경로. 이 옵션을 지정하면 ZIP 파일 내부의 레지스트리 하이브 파일을 대상으로 조회합니다.

대상

FILE_PATH

NTUSER 레지스트리 하이브 파일 경로. 와일드카드(*)를 사용하면 패턴과 일치하는 모든 파일을 한 번에 조회할 수 있습니다.

출력 필드

오류 코드

파싱 오류

해당 사항 없음

런타임 오류

해당 사항 없음

설명

reg-shellbags 명령어는 NTUSER 레지스트리 하이브 파일에서 Software\Microsoft\Windows\Shell\BagMRU 키를 읽어 ShellBags 항목을 파싱합니다. ShellBags는 Windows 탐색기에서 폴더를 열 때 자동으로 기록되는 아티팩트로, 삭제된 폴더나 이동식 미디어의 접근 이력도 포함될 수 있어 디지털 포렌식에서 사용자 활동 분석에 활용됩니다.

각 레코드에는 MRU 순서가 포함되어 있어 사용자가 가장 최근에 접근한 폴더를 확인할 수 있습니다. order 필드 값이 작을수록 더 최근에 접근한 폴더입니다.

NTFS 파일 시스템의 항목인 경우 MFT 엔트리 인덱스, NTFS 시퀀스 번호, 파일 크기, 접근 일시, 수정 일시 등의 상세 정보를 추가로 제공합니다.

이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.

사용 예

각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.

1. NTUSER 하이브 파일에서 ShellBags 조회

   reg-shellbags D:\evidence\NTUSER.DAT
   

   지정한 NTUSER 레지스트리 하이브 파일에서 ShellBags 이력을 조회합니다.

2. ZIP 파일 내의 NTUSER 하이브 파일 조회

   reg-shellbags zippath=D:\evidence\registry.zip NTUSER.DAT
   

   ZIP 파일 내부의 NTUSER 레지스트리 하이브 파일에서 ShellBags 이력을 조회합니다.

3. 최근 접근 순서대로 정렬

   reg-shellbags D:\evidence\NTUSER.DAT
   | sort order
   

   ShellBags 이력을 MRU 순서 기준으로 정렬하여 가장 최근에 접근한 폴더부터 조회합니다.

4. 와일드카드를 사용한 다중 파일 조회

   reg-shellbags D:\evidence\*\NTUSER.DAT
   

   와일드카드 패턴과 일치하는 모든 NTUSER 하이브 파일에서 ShellBags 이력을 조회합니다.

호환성

reg-shellbags 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.