본문 바로가기
Forensics/윈도우 아티팩트

[Windows Forensic Artifacts - 5] MUICache

by sseddi 2023. 3. 12.
728x90

MUI(Multilingual User Interface)

Windows에서 다중 언어를 지원하기 위해 존재하는 캐시

→ 다중 언어를 지원하기 위해 프로그램 이름을 캐시함 (윈도우에서 사용되는 기본 프로그램과 평소 실행하지 않았던 프로그램 목록도 포함)

실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장

응용프로그램을 실행하면 실행 파일 경로, 이름이 남으며 실행파일의 삭제/경로 변경 여부 상관없이 기록이 지워지지 않음(prefetch와 동일)

하지만 시간은 남지 않아 타임라인 구성은 어려움

다른 아티팩트랑 교차검증 할 때 사용

정보

레지스트리 속에 존재

경로

  • HKCU\Software\Classes\Local Settings\MuiCache : windows에서 기본으로 제공해주는

  • HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache : 서드파티 응용 프로그램

실습

MUICacheView

단순 프로그램 명 기록이라 따로 구조는 살펴보지 않음

reference

기초부터 따라하는 디지털포렌식

http://www.forensic-artifacts.com/windows-forensics/muicache

 

728x90

댓글