본문 바로가기
포렌식/기초부터 따라하는 디지털 포렌식

MUICache, AmCache, ShimCache 개념 및 실습

by SH_L 2022. 7. 28.
반응형

[MUICache]

 

MUI(Multilingual User Interface)로 Windows에서 다중 언어를 지원하기 위해 존재하는 캐시이다. 실행 파일 별로 유저 언어(한국어) 이름을 별도로 저장하고 있다. 응용 프로그램을 실행하면 캐시에 실행 파일 경로, 이름 등의 기록이 남는다. 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않는다.

 

 

 

[MUICache Practice]

 

MUICache의 경로는 아래와 같다.
HKCU\Software\Classes\Local Settings\MuiCache
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

 

 

지원이 안 되는 경우에는 그대로 영어인 상태로 남아있다.

 

MUICache를 분석하기 위해 MUICache View를 다운로드한다.

 

https://www.nirsoft.net/utils/muicache_view.html

 

MUICacheView - Edit/delete MUICache items

    MUICacheView v1.01 Copyright (c) 2008 - 2010 Nir Sofer Description Each time that you start using a new application, Windows operating system automatically extract the application name from the version resource of the exe file, and stores it for usin

www.nirsoft.net

 

 

MUICache의 리스트를 확인할 수 있다. 하지만 실행 시간은 알 수 없기에 다른 도구와의 교차 검증이 필요하다.

 

 

 

[AmCache & ShimCache]

 

응용 프로그램과 운영체제의 호환성을 위해 존재하는 캐시이다. 운영체제가 업데이트 되면 DLL이 생성 혹은 삭제되면서 호환성 문제가 발생하는데, Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결한다. 그 과정에서 AmCache와 ShimCache를 사용하게 된다.

 

Amcache는 모든 실행 파일의 이름, 경로, 크기, 해시 값을 확인할 수 있다. ShimCache는 AppCompatCache라는 명칭으로도 불리며 실행 파일의 경로, 최초 실행 시간을 확인할 수 있다.

 

 

 

[AmCache & ShimCache Practice]

 

AmCache와 ShimCache의 경로는 아래와 같다.
%SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache

 

 

%SystemDrive%\Windows\AppCompat\Programs 경로에서 Amcache.hve 파일을 확인할 수 있다.

 

 

HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache 경로에서 AppCompatCache 파일을 확인할 수 있다.

 

 

AppCompatCache 파일을 더블클릭하면 문자열을 확인할 수 있다.

 

 

FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 Amcache.hve, Amcache.hve.LOG1, Amcache.hve.LOG2 파일을 추출한다.

 

AmCache와 ShimCache를 분석하기 위해 AmcacheParser, AppCompatCacheParser를 다운로드한다.

 

https://ericzimmerman.github.io/#!index.md

 

Eric Zimmerman's tools

 

ericzimmerman.github.io

 

 

-f 옵션 뒤에 Parsing을 수행할 Amcache.hve file을 지정하고, --csv 옵션 뒤에는 csv 파일을 저장할 경로를 지정한다. 현재 경로에 파일을 저정하기 위해 "./"로 지정해주었다.

 

 

Amcache_UnassociatedFileEntries.csv 파일을 열어보면 Application Name, Program ID, Path 등을 확인할 수 있다.

 

 

관리자 권한으로 cmd를 연 다음 AppCompatCacheParser를 실행한다. 이때, -f 옵션을 지정하지 않으면 PC 내의 레지스트리를 자동으로 수집해준다.

 

 

Windows10Creators_사용자 계정_AppCompatCache.csv 파일을 열어보면 Path, 응용 프로그램의 마지막 실행 시간, 응용 프로그램의 마지막 변경 시간 등을 확인할 수 있다.

반응형

'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글

ThumbnailCache & IconCache 개념 및 실습  (0) 2022.07.29
브라우저 아티팩트 개념 및 실습  (0) 2022.07.28
Prefetch 개념 및 실습  (0) 2022.07.28
Jumplist 개념 및 실습  (0) 2022.07.28
바로가기(.LNK) 개념 및 실습  (0) 2022.07.27

관련글

티스토리툴바