Registry Analysis

analyzing-windows-shellbag-artifacts 可協助 DFIR 分析人員解讀 Windows Shellbag 登錄檔 artefact，重建資料夾瀏覽紀錄、已刪除資料夾存取、可移除媒體使用情況，以及網路共享活動，並搭配 SBECmd 與 ShellBags Explorer 使用。這是一份實用的 analyzing-windows-shellbag-artifacts 指南，適合事件回應與鑑識工作。

analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史，適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析，以及可移除媒體證據分析。