Prefetch, MUICache, AmCache&ShimCache

티스토리 뷰

Forensic/Artifact

Noctis41 2024. 5. 30. 19:42

해당 포스트는 Windows 포렌식에서의 Prefetch, MUICache에 대한 이론적인 부분에 대한 내용입니다.

응용 프로그램의 빠른 실행을 위해서 존재하는 파일
응용프로그램을 실행할 때에 생성
- 실행 파일 이름, 경로
- 실행 파일의 실행 횟수
- 실행 파일의 마지막 실행 시간
- 실행 파일의 최초 실행 시간
Prefetch 경로
- %SystemRoot%\Prefetch
- WinPrefetchView를 이용하여 분석할 것이다.

Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
- MUI(Multilingual User Interface)
- 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있다.
응용프로그램을 실행하면 캐시에 기록이 남는다.
- 실행 파일 경로, 이름
- 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않는다.
MUICache 경로
- HKCU\Software\Classes\Local Settings\MuiCache
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
MUICache View 이용하여 분석한다.
MUICache View는 위에 설명한 WinPrefetch와 이중으로 확인해주면 좋다.

응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
- 운영체제가 업데이트되면 DLL이 생성 혹은 삭제로 호환성에 문제가 발생한다.
- Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결할 수 있다.
Amcache
- 모든 실행 파일의 이름, 경로, 크기, 해시값을 확인할 수 있다.
ShimCache(AppCompatCache)
- 실행 파일의 이름, 경로, 크기 정보를 확인 할 수 있다.
- 마지막 실행 시간을 확인할 수 있다.
AmCache & ShimCache 경로
- %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
- HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
- HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
AmcacheParser, AppCompatCacheParser를 이용하여 분석한다.
- C:\Windows\appcompat\Programs 해당 경로에 들어간 후 FTK Imager를 실행 후 해당 Amcache.hve, Amcache.hve.LOG1, Amcache.hve.LOG2를 수집해준다.

후에 AmcacheParser를 통해 추출한 파일을 실행을 시켜준다.

그럼 아래와 같은 csv 파일들이 생성된 것을 볼 수 있다.그 중 응용프로그램에 대한 정보가 있는20240530192851_Amcache_UnassociatedFileEntries.csv을 열어 확인하면 실행한 응용프로그램에 대한 정보를 볼 수 있었다.

Windows Artifact 종류 및 관련 도구 (0)	2025.02.18
ThumbnailCache, IconCache, Windows Timeline (0)	2024.05.30
브라우저 아티팩트 개념, 실습 (0)	2024.05.30
$MTF, $LogFile, $UsnJrnl, .LNK, Jumplist (2)	2024.05.02
Windows Registry 동작원리 (0)	2024.04.01