본문 바로가기
카테고리 없음

[디지털포렌식] Prefetch, MUICache, AnCache & ShimCache

neul486 2024. 5. 22. 11:20
728x90

[목차]

01 Prefetch

02 MUICache

03 AnCache & ShimCache

04 브라우저 아티팩트 개념

05 브라우저 아티팩트 실습

 

 

Prefetch

 

1. 개념정리

 

응용프로그램의 빠른 실행을 위해서 존재하는 파일

 

응용프로그램을 실행할 때에 생성
• 실행 파일 이름, 경로
• 실행 파일의 실행 횟수
• 실행 파일의 마지막 실행 시간
• 실행 파일의 최초 실행 시간

 

 

2. 실습

 

프리패치의 경로
• %SystemRoot%\Prefetch

 

 

WinPrefetchView 다운로

https://www.nirsoft.net/utils/win_prefetch_view.html

 

View the content of Windows Prefetch (.pf) files

    WinPrefetchView v1.37 Copyright (c) 2010 - 2021 Nir Sofer Description Each time that you run an application in your system, a Prefetch file which contains information about the files loaded by the application is created by Windows operating system. T

www.nirsoft.net

 

위 링크로 들어가서 64비트 버전으로 다운 받는다.

 

실행해보면 위와 같이 자동으로 프리패치들이 불러와서 출력된다.

클릭해서 보면 언제 생성됐는지, 언제 변경됐는지, 경로가 어딘지, 라스트 런타임이 어딘지 등 과 같은 정보를 확인할 수 있다.

(굉장히 보기 편하기 때문에 응용프로그램 추적할 때 추천함.)

 

프리패치의 경로로 가보면 각종 PF 확장자의 파일들이 남아있는 걸 확인할 수 있다.

 

MUICache

 

1. 개념정리

 

Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
• MUI(Multilingual User Interface)
• 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음

응용프로그램을 실행하면 캐시에 기록이 남음
• 실행 파일 경로, 이름
• 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음

 

2. 실습

 

MUICache 경로
• HKCU\Software\Classes\Local Settings\MuiCache
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

 

레지스트리 편집기를 열고 위 경로를 복사 붙여넣기 해준다.

첫 번째 경로로 들어가보았다.

 

하위 폴더로 내려가서 확인해보면 경로와 데이터 들을 확인할 수 있다.

지금 들어간 경로의 경우 윈도우에서 기본으로 지원해주는 것들이기 때문에 한국어 지원이 잘 되어있다.

 


MUICache View 다운로드
 https://www.nirsoft.net/utils/muicache_view.html

 

MUICacheView - Edit/delete MUICache items

    MUICacheView v1.01 Copyright (c) 2008 - 2010 Nir Sofer Description Each time that you start using a new application, Windows operating system automatically extract the application name from the version resource of the exe file, and stores it for usin

www.nirsoft.net

 

위 사이트로 접속 후 내려가서 다운로드 버튼 클릭해주면 된다.

 

컴퓨터에 있는 많은 프로그램들과 리스트를 볼 수 있다.

타임라인 정보가 안 나오는 게 아쉬운 점이다.

 

AnCache & ShimCache

 

1. 개념정리

 

응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
• 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 à 호환성 문제 발생
• Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결

Amcache
• 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
• ShimCache(AppCompatCache)
• 실행 파일의 경로, 최초 실행 시간 확인

 

2. 실습

 

AmCache & ShimCache 경로
• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
• HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
• HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache

AmcacheParser, AppCompatCacheParser 다운로드
https://ericzimmerman.github.io/#!index.md

 

MDwiki

 

ericzimmerman.github.io

 

위 사이트로 들어가 맨 위의 두 개를 다운 받는다. 버전은 똑같아보이지만 일단 왼쪽 버전으로 진행한다.

 

두 프로그램 모두 CLI 기반으로 동작한다. cmd 창에서 실행해보자.

위와 같이 설명 주어진다.

 

ftk imager에서 경로를 타고 들어가준다. amcache.hve 파일을 확인할 수 있다.

이렇게 3개 파일을 export 해준다. 바탕화면에 ProgramExecution 파일을 생성하고 그 안에 넣어주면 된다.

 

폴더 안에 registry 폴더를 생성해서 그 안에 추출된 파일들을 또 넣어준다. 실습하기 편하게 폴더 안에 프로그램이랑 파일을 세팅해준다. 이제 cmd 켜고 명령어를 입력해보자.

 

AmcacheParser.exe -f C:\Users\limsk\Desktop\ProgramExecution\registry\Amcache.hve --csv ./

 

생성된 파일들 중 FileEntries 를 확인해보자.

 

ProgramID, FileKeyLastWriteTimestamp, Path 등 확인할 수 있다.

 

브라우저 아티팩트 개념

 

1. 개념정리

 

Web Browser란?


인터넷을 이용하기 위해 실행하는 응용 프로그램

e.g. Chrome, Edge, Whale

 

 

브라우저를 통해 하는 일들


• 웹 검색
• 로그인
• 파일 다운로드
• 영상 시청

 

 

브라우저 아티팩트란?

• History: 방문한 URL, 방문 횟수, 방문 시각 등
• Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
• Cookie: 사용자 데이터, 자동 로그인 등
• Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등

 

브라우저 아티팩트 실습

 

브라우저별 경로
• Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
• Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
• Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\

 

 

Chrome 아티팩트 분석
• History (*가장 정보가 많이 남고 중요)
• Cache
• Top Sites
• Shortcuts
• Bookmarks
• Last Tabs

 

DB Browser for SQLite
https://sqlitebrowser.org/

 

DB Browser for SQLite

DB Browser for SQLite DB Browser for SQLite (DB4S) is a high quality, visual, open source tool designed for people who want to create, search, and edit SQLite database files. DB4S gives a familiar spreadsheet-like interface on the database in addition to p

sqlitebrowser.org

 

드래그앤드롭으로 sqlite 프로그램에 history 파일을 열어야하는데.. 크롬창을 끄고 해야한다고 한다.

강의를 듣고 있으니 일단 실습은 중단하고 내용을 따라가기로 했다.

 

데이터 보기 - 테이블 을 클릭하면 테이블들을 확인할 수 있다.

History 테이블에서는 downloads, urls, visits 테이블을 확인해준다.

 

언제 다운로드 했는지, 어디에 저장이 됐는지 등의 목록을 확인할 수 있다.

 

어디 url 에 접속을 했는지 접속기록을 확인할 수 있다.

 

visit를 보면 사용자의 방문 시간을 확인할 수 있다.

id 값이 다른 테이블에서 지정되어있는데 id 1번 (구글) 에 언제 방문했는지 등 확인할 수 있다.

 

 

Edge 아티팩트 분석
• WebCacheV01.dat

 

ESEDatabaseView
https://www.nirsoft.net/utils/ese_database_view.html

 

View / Open ESE Database Files (Jet Blue / .edb files)

ESEDatabaseView is a simple utility that reads and displays the data stored inside Extensible Storage Engine (ESE) database (Also known as Jet Blue or .edb file).

www.nirsoft.net

 

BrowsingHistoryView
• https://www.nirsoft.net/utils/browsing_history_view.html

• Chrome
• ChromeCacheView, Hindsight
• Edge
• IE10Analyzer, ESEDatabaseView
• Whale
• Carpe Forensics

 

View the browsing history of your Web browser

View the browsing history of all major Web browsers (Firefox, Chrome, Internet Explorer, and more) in one table.

www.nirsoft.net

 

 

728x90

티스토리툴바