1.  로컬 컴퓨터의 시간대 (Time Zone) 정보 분석

다양한 운영체제가 서로 다른 시간대를 구현하고 있기 때문에 이를 고려하는 것은포렌식 분석 과정에서 기본적으로 체크하여야 할 사항으로 

HKLM\ SYSTEM\ControlSet00x\ Control\TimeZoneInformation에서 파악이 가능합니다.

기술적인 표기로 1972년 1월 1일부터 시행된 국제 표준시로 UTC ( Universal Time Coordinated)를 사용하며  "협정 세계시", "협정 세계 표준시"로 명명 하며  대한민국 표준시는 UTC+09:00 서울 시간으로 적용 분석 하여야 합니다.

2.  로컬 컴퓨터의 시스템의 기본정보 (System Information) 분석

운영 체제의 이름, 사용자 이름, 조직이름, 운영 체제 식별자, 운영 체제 버전, 운영 체제 설치 날짜 및 설치 경로에 대한 정보  파악이 가능합니다.

• HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion  에서  시스템에  컴퓨터 기본 정보를 확인할 수 있습니다.
•  HKLM\SYSTEM\ControlSet00x\Control\ComputerName\ActiveComputerName 에서  시스템에 등록 된 컴퓨터 이름 정보를 확인할 수 있습니다.
•  HKLM\SYSTEM\ControlSet00x\Control\Windows\ShutdownTime 에서  시스템 마지막 종료시점에 대한 정보값을 확인할 수 있습니다.

3.  로컬 컴퓨터의 사용자 계정 (User Account) 정보  분석

로컬 컴퓨터의 사용자  목록,  사용자의 프로필, 마지막으로 로그인한 정보에 대한 분석이 가능합니다.

• SAM\SAM\Domain\Account\Users\{RID}  또는 SAM\SAM\Domain\Account\Users\Names\{Accounts}에서 사용자 목록 정보 추출이 가능합니다.
• HKLM\SOFTWARE\Microsoft\WindowsNT\CurrnetVersion\ProfileList\{SID} 에서 사용자 프로필 목록 정보 파악이 가능합니다.
• HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon 에서 마지막으로 로그인한 사용자 정보 추출이 가능합니다.

4.  로컬 컴퓨터에 설치된 응용 프로그램 목록 정보 분석

설치한 응용 프로그램의 목록 및 실행한 프로그램의 경로와 실행 유형, 실행 횟수, 최종 실행 시간 정보 확인등의 정보 분석이 가능합니다.

• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall에서 설치된 응용 프로그램 목록 정보 분석이 가능합니다.
• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 에서 실행한 프로그램의 경로와 실행 유형, 실행 횟수, 최종 실행 시간 정보 분석이 가능합니다.

5.  로컬 컴퓨터에 설치된 외부 USB 장치의 정보 , 할당된 볼륨 정보 및 할당된 드라이브 등의 정보 및 사용 흔적 분석 

외부 USB 저장장치의 밴더 정보, 제품 명 , 일련번호 등의 정보 파악이 가능하며 레지스트리와 로그 파일 분석을 통해 USB의 사용 흔적 분석이 가능합니다.

• HKLM\SYSTEM\ControlSet\Enum\USBSTOR 에서 Vendor 정보, 제품명, Revision number 의  정보 분석이 가능합니다.
• HKLM\SYSTEM\ControlSet\Enum\USB에서 제조사 ID 및 제품 ID 정보 확인의  정보 분석이 가능합니다.
• HKLM\SOFTWARE\Microsoft\Windows Portable Device\Device 에서 제품명 또는 시리얼번호를 포함하는 키의  정보 분석이 가능합니다.
•  HKU\{USER}\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 에서 마지막 연결 시각 의  정보 분석이 가능합니다.

6.  사용자가 최근에 열거나 실행한 파일 및 폴더 정보 확인(MRU)을 통해  특정 시점의 사용자 행위 파악 분석이 가능 합니다. 

MRU ( Most Recently Used ) 사용자가 가장 최근에 열거나 실행한 파일의 정보 값으로 사용자별로 관리되기 때문에 HKLM 하위가 아닌 HKU(HKEY_USER) 하위에 위치하며 사용자의 가장 최근의 행위 파악 분석이 가능합니다.

• HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 에서 최근 실행한 문서, 그림, 동영상 등의 파일 의  정보 분석이 가능합니다.
• HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVistitedPidMRU에서 탐색기를 통해 열어본 폴더 목록의  정보 분석이 가능합니다.
• HKU\{USER}\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidMRU에서 탐색기를 통해 열어보거나 저장한 파일 목록의 정보 분석이 가능합니다.

7.  사용자가 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보를 Shellbags 레지스트리에 기록하며 해당 정보 분석이 가능합니다. 

Shellbags 레지스트리는 Bags과 BagMRU 두 가지 주요 레지스트리 키로 구성되며 Bags는 창 크기, 위치 및 보기 모드와 같은 보기 기본 설정, BagMRU 키는 유사한 트리 구조를 생성하여 폴더 이름과 레코드 폴더 경로를 저장하고 있고 해당 정보의  분석을 통해 사용자가 특정 폴더에 접근한 시간 정보 및 특정 폴더의 삭제/덮어쓰기에 대한 행위 분석이 가능합니다.  

• NTUSER.DAT는 데스크톱, Windows 네트워크 폴더, 원격 컴퓨터 및 원격 폴더에 대한 ShellBags 정보를 저장 하며 해당 정보의 분석이 가능합니다.
• UsrClass.dat는 데스크톱, ZIP 파일, 원격 폴더, 로컬 폴더, Windows 특수 폴더 및 가상 폴더에 대한 ShellBags 정보를 저장하며 해당 정보의 분석이 가능합니다.

8.  사용자가 특정 파일 및 문서를 열거나,  바로가기 또는 첨부 등을 하였을 경우 LNK(바로가기)정보 분석이 가능합니다. 

LNK 파일분석은 특정 응용프로그램을 설치했을 때 바탕화면에 자동으로 생성되거나, 사용자가 편의를 위해 바로가기를 생성했을 때, 최근 문서 폴더, 시작프로그램, 빠른실행 등 다양한 곳에서 수동 혹은 자동으로 생성되어 저장되는 파일로 사용자의 행위 파악 분석이 가능합니다.

LNK 파일 포맷은 ShellLinkHeader , LinkTargetIDList , LinkInfo , StringData, ExtraData로 5가지 부분으로 구성되어 있습니다.

• ShellLinkHeader는 식별정보, 타임스탬프, 선택 가능한 영역의 유무 표시 플래그 정보를 분석할 수 있습니다.
• LinkTargetIDList는 원본 정보를 포함하고 있습니다.
• LinkInfo는 원본의 위치를 찾을때 필요한 정보를 분석할 수 있습니다.
• StringData는 사용자 인터페이스나 경로 식별 정보를  분석할 수 있습니다.
• ExtraData 는 링크 대상의 화면 표시 정보, 문자열 코드페이지, 환경 변수와 같은 추가적인 정보를  분석할 수 있습니다.

9.  기타 분석 가능 정보

• Windows 이벤트 로그 분석   : Windows 로그, 방화벽 이벤트, 네트워킹 이벤트, 사용자 이벤트, 사용자 PNP이벤트 등의 분석 작업이 가능합니다.
• 클라우드 (Cloud ) 분석 : One드라이브, 구글 드라이브 등의 클라우드 분석 작업이 가능합니다.
• 웹 분석 : 구글 크롬 및 Edge의  웹기록, 웹방문 기록, 캐시 레코드, 쿠키, 북마크, 파비콘, 다운로드 및 검색기능의 상세 분석이 가능합니다.
• 삭제된 문서 및 멀티미디어 복원 및 분석 기능 : 삭제한 문서(확장자별) , 사진, 동영상, 음성등의 삭제된 파일 정보의 상세 분석이 가능합니다.