728x90
응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
운영체제가 업데이트되면 DLL이 생성 혹은 삭제 → 호환성 문제 발생
Windows에서는 프로그램 호환성 관리자를 이용해 이 문제를 해결
문제를 해결하는 과정에서 Amcache와 ShimCache를 사용하게 됨
AmCache
모든 실행 파일의 이름, 경로, 크기, 해시값 확인
프리패치 파일과 병행하여 프로그램의 전체적인 타임라인 구성 가능
정보
경로
- %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
실습
AmacheParser
자동 수집 지원하지 않기 때문에 ftk로 파일 추출
log까지 같이 추출
cmd 명령어로 AmcacheParser.exe -f Amcache.hve --csv ./
UnassociatedFileEntries만 보면 됨 - 응용프로그램 정보
- DriveBinaries/Pnps은 USB 연결 정보, pnp
- Driver은 드라이버들 - 각종 USB 연결
- ShortCut - Lnk 정보들
FullPath, Name, size, SHA1 정보가 중요
추가로 timestamp도
포렌식적 의미
- 모든 실행 파일의 목록, 전체 경로 확인
- 파일의 최초 실행시간, 삭제시간 확인
- 안티 포렌식 프로그램, 외부 저장장치 흔적 추적(USB, Driver)
ShimCache(AppCompatCache)
실행 파일의 이름, 경로, 크기 정보 확인
마지막 실행 시간 확인
정보
레지스트리 속 별도 영역에 존재
경로
- HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
- HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
실습
AppCompatCacheParser
관리자 권한으로 cmd 실행하면 자동 수집
- 경로 지정해서 실행도 가능
path, 마지막 변경 시각(UTC) 중요
포렌식적 의미
- 실행 파일의 이름, 경로, 크기정보 확인
- 마지막 실행시간 확인
- 침해사고 분석에 활용
reference
http://www.forensic-artifacts.com/windows-forensics/amcache
http://www.forensic-artifacts.com/windows-forensics/shimcache
728x90
'Forensics > 윈도우 아티팩트' 카테고리의 다른 글
| [Windows Forensic Artifacts - 8] Thumbnail & Icon cache (0) | 2023.03.12 |
|---|---|
| [Windows Forensic Artifacts - 7] 웹 아티팩트 (0) | 2023.03.12 |
| [Windows Forensic Artifacts - 5] MUICache (0) | 2023.03.12 |
| [Windows Forensic Artifacts - 4] Jumplist (0) | 2023.01.10 |
| [Windows Forensic Artifacts - 3] LNK (0) | 2023.01.10 |
댓글