본문 바로가기
Forensics

새로운 windows 11 Pro(22H2) 아티팩트 발견

by sseddi 2023. 1. 10.
728x90

https://aboutdfir.com/new-windows-11-pro-22h2-evidence-of-execution-artifact/

위 블로그 내용 번역본 !

배경

디포 디스코드 서버가 있는데, windows11에서 C:\\Windows\\appcompat\\pca 의 경로가 어디인지 누군가 물어봤음.

Amcache가 C:\\Windows\\appcompat\\Programs\\Amcache.hve에 있기 때문에 익숙한 폴더 경로처럼 보일 수 있음.

PCA란?

Windows 8부터 사용된 Program Compatibility Assistant

 

PCA는 sc query pcasvc로 쿼리를 날릴 수 있는 pcasvc 이름의 윈도우즈 서비스를 가짐.

발견된 새로운 아티팩트는 항상 존재하는 것은 아니고 위 서비스가 실행되는 동안 아티팩트가 채워짐.

 

예시)

SERVICE_NAME: pcasvc
TYPE : 30 WIN32
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

언제 발견?

VanilaWindowsReference GitHub를 보면 windows 11 21H2의 CSV에는 위 경로의 증거가 안보이는데 windows 11 22H2에는 보이는 걸로 보아 windows 11 22H2부터 새로 생겼다는 것을 알 수 있음.

위치

C:\\Windows\\appcompat\\pca 폴더에는 3개의 txt 파일이 존재

 

C:\\Windows\\appcompat\\pca\\PcaAppLaunchDic.txt

C:\\Windows\\appcompat\\pca\\PcaGeneralDb0.txt

C:\\Windows\\appcompat\\pca\\PcaGeneralDb1.txt

 

아래 깃허브에서 위의 txt 파일의 샘플 획득 가능

https://github.com/AndrewRathbun/DFIRArtifactMuseum

DFIRArtifactMuseum/Windows/Amcache/Win11/RathbunVM at main · AndrewRathbun/DFIRArtifactMuseum

분석

환경 : Windows 11 Pro(22H2 – 22621.963) VM

PcaAppLaunchDic.txt

지정된 응용 프로그램의 마지막 실행 시간을 제공하는 데이터의 파일 경로와 타임스탬프 값 쌍을 포함함.

 

예시)

C:\Program Files\Everything\Everything.exe|2022-12-28 16:06:24.212

 

PcaGeneralDb0.txt

파이프 구분 형식으로 아래 정보를 제공함.

  • Runtime
  • Run status
  • Executable path
  • Description of the file
  • Software vendor
  • File version
  • Unknown Value (later determined to be ProgramId – thank you Costas!)
  • Exitcode value

예시)

2022-05-12 21:32:42.556|2|%USERPROFILE%\appdata\local\githubdesktop\app-2.9.9\resources\app\git\cmd\git.exe|git|the git development community|2.32.0.windows.2|0006ea6a66e62a303f7b974dc4952647a80300000904|Abnormal process exit with code 0x80

알 수 없는 값은 Amcache에 기록된 ProgramId로 밝혀짐.(Costas K)

 

PcaGeneralDb1.txt

VM에서 PcageneralDb1.txt가 채워지지 않음

개인 컴퓨터에선 채워지긴 했는데 PcaGeneralDb0.txt보단 훨 적게 채워짐

개인 컴퓨터에서 채워진 내용은 아래와 같음.

느낀점

PcaAppLaunchDic.txt는 Prefetch, Amcache 등과 유사한 실행 증거의 또 다른 신뢰할 수 있는 소스를 제공하는 것으로 보이는데, PcaGeneralDb0의 잠재적 포렌식 값에 대한 더 많은 연구가 수행되어야 할 것임.

결론

21년 출시 이후 windows 11에서 발견된 최초의 아티팩트로, 특정 응용프로그램에 대해 신뢰할 수 있는 마지막 실행 타임스탬프 이상의 가치가 있는지 확인하려면 더 많은 연구를 수행해야 함.

또한, 이런 위치에 어떤 유형(GUI vs CLI)의 응용프로그램이 기록되는지, 더 많은 연구를 수행해야 함.

새로운 아티팩트가 발견된 만큼 다른 부분에 있어서도 다른 새로운 아티팩트가 발견될 가능성이 높을 것 같음.

새롭게 발견된 아티팩트를 기존 아티팩트와의 비교를 통해 다른 부분을 찾아내는 것이 중요하다고 생각함.

-> 다른 부분이 기존보다 더 나은지/안 나은지 

728x90

'Forensics' 카테고리의 다른 글

포렌식 공부를 하는 이유  (0) 2022.03.13
KGB - Messenger CTF Challenge  (0) 2021.07.27
네트워크 패킷 포렌식  (0) 2021.02.08
NTFS  (0) 2021.02.06
저장장치 구조  (0) 2021.02.06

관련글

댓글

티스토리툴바