| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- Web
- 프로그래머스
- 자라나는새싹
- C언어
- 파이썬
- command
- Python
- 인프런
- CSRF
- dreamhack
- 포렌식
- injection
- hacking
- WHS
- 워게임
- 백준
- 스터디
- 웹해킹
- 알고리즘
- BaekJoon
- c
- 디지털 포렌식
- Programmers
- Algorithm
- 풀이
- WarGame
- XSS
- 드림핵
- 문제풀이
- 자라나는 새싹
- Today
- Total
Hoin's security
Prefetch, MUCache, AmCache & ShimCache 본문
응용 프로그램 실행과 관련된 아티팩트
Prefetch
: 응용프로그램의 빠른 실행을 위해서 존재하는 파일
• 응용프로그램을 실행할 때에 생성
• 실행 파일 이름, 경로
• 실행 파일의 실행 횟수
• 실행 파일의 마지막 실행 시간
• 실행 파일의 최초 실행 시간
• 프리패치의 경로
• %SystemRoot%\Prefetch
• WinPrefetchView 이용하여 분석
• https://www.nirsoft.net/utils/win_prefetch_view.html
View the content of Windows Prefetch (.pf) files
WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir Sofer Description Each time that you run an application in your system, a Prefetch file which contains information about the files loaded by the application is created by Windows operating system. T
www.nirsoft.net
위 링크로 접속.
자신의 pc 사양에 맞추어 다운로드 진행.
prefetch를 사용하면 컴퓨터가 변해서 무결성이 훼손...된다는데 왜 변하는거지?
-> write blocker라는 쓰기 방지 장치를 달아서 분석하는 방법도 있음.
-> 옵션이 있어서 실행을 하면 내가 수집한 prefetch 파일을 열 수 있음.
위 경로로 가면
이런 파일들이 있고 이걸 prefetch에서 자동으로 가져오는 것.
실행되었던 응용 프로그램이 삭제되거나 경로가 변경된다고 해서 관련 정보도 같이 삭제되지 않음.
MUCache
: Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
• MUI(Multilingual User Interface)
• 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
• 응용프로그램을 실행하면 캐시에 기록이 남음
• 실행 파일 경로, 이름
• 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
• MUICache 경로
• HKCU\Software\Classes\Local Settings\MuiCache
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• MUICache View 이용하여 분석
• https://www.nirsoft.net/utils/muicache_view.html
MUICacheView - Edit/delete MUICache items
MUICacheView v1.01 Copyright (c) 2008 - 2010 Nir Sofer Description Each time that you start using a new application, Windows operating system automatically extract the application name from the version resource of the exe file, and stores it for usin
www.nirsoft.net
다운로드 받아준다.
실행시키면 컴퓨터 내에 존재하는 프로그램들이 리스트로 나옴.
언제 실행했는지에 대해서는 안남음. -> 타임라인 구성 어려움 있음.
AmCache & ShimCache
: 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
• 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 -> 호환성 문제 발생
• Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
Amcache
• 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
ShimCache(AppCompatCache)
• 실행 파일의 경로, 최초 실행 시간 확인
• AmCache & ShimCache 경로
• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
->macache 담고있는 경로
• HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
• HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
->registry
• AmcacheParser, AppCompatCacheParser 이용하여 분석
• https://ericzimmerman.github.io/#!index.md
MDwiki
ericzimmerman.github.io
위 링크로 접속.
이 두 파일을 다운받아준다.
압축해제 해주고 cmd 창에서 실행해주면 아래와 같이 된다.
FTK imager를 사용해서 파일을 추출해줄건데 먼저
C 드라이브 -> root -> windows -> appcompat -> Programs
Amcache.hve를 export해준다. 이때 항상 log파일도 같이 해줘야한다.
나는 amcache폴더를 만들고 거기에 추출해줬다. 이 폴더는 AmcacheParser 프로그램 실행파일 폴더 안에 폴더를 만들어서 진행한다.
AmcacheParser.exe 가 있는 경로에서 cmd창을 열고
AmcacheParser.exe -f amcache\Amcache.hve --csv ./을 입력해준다. 여기서 ./는 현재 경로에 결과를 저장하겠다라는 의미이다.
쨘. 마지막에 있는 Unassociate만 보면됨.
실행시키면 이런 파일들을 볼 수 있음. 실행 파일 이름이랑 경로, 날짜, 등 정보를 볼 수 있음.
이번에는 AppCompatCacheParser를 사용해본다.
cmd를 관리자 권한으로 실행하고 해당 실행 파일이 있는 폴더의 경로를 복사하여 cd 명령어로 이동해준다.
이것도 -f 옵션으로 경로를 지정해줄 수 있는데 지정 안해주고 바로 실행시켜줄거다.
수집완료.
생성된거 확인하고 실행해준다.
이런식으로 나오고 path, 마지막 변경시간(마지막으로 실행한 시간) 을 알 수 있음.
시간순으로 정렬도 가능하다.
'스터디 > 디지털 포렌식' 카테고리의 다른 글
| 브라우저 아티팩트 개념 및 실습 (0) | 2024.05.30 |
|---|---|
| [디지털 포렌식] 바로가기(.LNK), Jumplist 개념 및 실습 (0) | 2024.05.15 |
| 디지털 포렌식 스터디 $MFT개념 및 실습, $LogFile, $UsnJrnl 개념 및 실습 (0) | 2024.05.08 |
| [3주차] 디지털 포렌식 스터디 정리 (0) | 2024.04.02 |
| [2주차] 디지털 포렌식 정리 (0) | 2024.03.27 |
