응용 프로그램 (exe) 실행에서 남는 아티팩트들 -> 악성 프로그램 추적에 도움
포렌식을 위한 게 아님. -> 이 아티팩트들이 윈도우에서 왜 필요한지 알자.
Prefetch 먼저 분석하고, 나머지로 교차 검증 수행시 효과적
[1] Prefetch
- 응용 프로그램의 빠른 실행을 위해 존재하는 파일.
- RAM에 별도의 prefetch 영역을 할당하여 최근에 실행한 프로그램을 HDD에서 로드하지 않고 CPU가 빠르게 불러와 처리할 수 있도록 함.
- 응용 프로그램을 실행할 때에 생성
- 실행 파일 이름, 경로
- 실행 파일의 실행 횟수
- 실행 파일의 마지막 실행 시간
- 실행 파일의 최초 실행 시간
- 경로
- %SystemRoot%\Prefetch (C:\Windows\prefetch)
- 분석 툴: WinPrefetchView
- https://www.nirsoft.net/utils/win_prefetch_view.html
- 실행하면, 자동으로 prefetch를 수집하여 분석함 -> 무결성 훼손 가능성 존재 -> cmd로 옵션을 통해 실행하자!
- 실행 횟수, 실행 시각, 경로 등을 확인 가능
삭제되거나, 경로가 변경된다고 해서 prefetch는 삭제되지 않음 !
[2] MUICache
- Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
- MUI (Multilingual User Interface)
- 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
- 응용 프로그램을 실행하면 캐시에 기록이 남음
- 실행 파일 경로, 이름
- 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
- 경로
- HKCU\Software\Classes\Local Settings\MuiCache (윈도우에서 기본 제공하는)
- HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
- 분석 툴: MUICache View
- 언제 실행했는지는 나오지 않음, 타임라인 구성에 한계 -> 교차 검증 시 파악
[3] AmCache & ShimCache
https://ukkiyeon.notion.site/AmCache-ShimCache-4ae8dde71ae64778a7cb7fb047714907
AmCache & ShimCache
응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
ukkiyeon.notion.site
'Forensic > study' 카테고리의 다른 글
| [Forensic] Windows Timeline (3) | 2023.03.05 |
|---|---|
| [Forensic] 웹 포렌식 (0) | 2023.01.10 |
| [Forensic] 바로가기(.LNK), Jumplist (0) | 2022.09.02 |
| [Forensic] 시스템 파일 ($) (0) | 2022.08.20 |
| [GCFA] 3주차 (0) | 2022.08.16 |
