prefetch, MUICache, AmCache, ShimCache의 공통점
: 응용 프로그램 실행과 관련된 아티팩트
운영체제에서 특정한 목적을 가지고 만든 아티팩트
Prefetch
응용프로그램의 빠른 실행을 위해서 존재하는 파일
가장 흔히 접할 수 있음
하드디스크에서 CPU에서 처리가 됨. 하드디스크에서 이 응용 프로그램이 존재하는 것을 RAM이라는 메모리에 올려서 CPU가 RAM에 접근해서 그걸 가져와서 계산을 하고 그런 식으로 컴퓨터가 돌아감.
-> 하드디스크에서 바로 파일 불러오는게 너무 시간이 오래 걸림. 그래서 램에 실행되었던 응용 프로그램들의 목록을 갖고 있는거임.
응용프로그램을 실행할 때에 생성
-실행 파일 이름, 경로
-실행 파일의 실행 횟수
-실행 파일의 마지막 실행 시간
-실행 파일의 최초 실행 시간
프리패치 경로
• %SystemRoot%\Prefetch
WinPrefetchView 이용하여 분석
• https://www.nirsoft.net/utils/win_prefetch_view.html
View the content of Windows Prefetch (.pf) files
WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir Sofer Description Each time that you run an application in your system, a Prefetch file which contains information about the files loaded by the application is created by Windows operating system. T
www.nirsoft.net
무결성을 훼손시키지 않고 패치를 파일들을 별도로 수집해서 열 수 있음.
MUICache
Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
-MUI(Multilingual User Interface)
-실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
윈도우즈라는 운영체제는 굉장히 다양한 나라에 배포가 됨. 윈도우즈에서 돌아가는 응용 프로그램들도 굉장히 다양한 나라에 배포가 됨. MUI 파일을 같이 만들어서 배포를 함.
응용프로그램을 실행하면 캐시에 기록이 남음
-실행 파일 경로, 이름
-실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
MUICache 경로 레지스트리 편집기로 확인
-HKCU\Software\Classes\Local Settings\MuiCache
-HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
MUICache View 이용하여 분석
- https://www.nirsoft.net/utils/muicache_view.html
언제 실행했는지 이런 정보는 남지 않아서 타임라인을 구성하기는 어려움
AmCache & ShimCache
응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
- 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 -> 호환성 문제 발생
- Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
Amcache
- 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
ShimCache(AppCompatCache)
- 실행 파일의 경로, 최초 실행 시간 확인
AmCache & ShimCache 경로
- %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
- HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
- HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
AmcacheParser, AppCompatCacheParser 이용하여 분석
- https://ericzimmerman.github.io/#!index.md
MDwiki
ericzimmerman.github.io
웹 브라우저
: 인터넷을 이용하기 위해 실행하는 응용 프로그램
- 웹 검색 디지털 포렌식적으 굉장히 중요한 행위
- 로그인
- 파일 다운로드
- 영상 시청
브라우저 아티팩트
웹브라우저가 해주는 수많은 행동들을 형식에 맞게 포렌식적으로 분석
History: 방문한 URL, 방문 횟수, 방문 시각 등
Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
Cookie: 사용자 데이터, 자동 로그인 등
Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등
Tools & Practice
브라우저별 경로
• Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
• Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
• Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\
Chrome 아티팩트 분석
• History
• Cache
• Top Sites
• Shortcuts
• Bookmarks
• Last Tabs
• DB Browser for SQLite
https://sqlitebrowser.org/
Edge 아티팩트 분석
• WebCacheV01.dat
• ESEDatabaseView
https://www.nirsoft.net/utils/ese_database_view.html
View / Open ESE Database Files (Jet Blue / .edb files)
ESEDatabaseView is a simple utility that reads and displays the data stored inside Extensible Storage Engine (ESE) database (Also known as Jet Blue or .edb file).
www.nirsoft.net
다운 후 실행
히스토리 파일을 드래그 앤 드랍하면.. 이렇게 뜬다.
웹브라우저를 끄면 된다는데 웹브라우저를 꺼도 같은 오류가 발생한다.
BrowsingHistoryView
• https://www.nirsoft.net/utils/browsing_history_view.html
• Chrome
- ChromeCacheView, Hindsight
• Edge
- IE10Analyzer, ESEDatabaseView
• Whale
- Carpe Forensics