AmCache & ShimCache 개념 및 실습

• 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
  • 운영체제가 업데이트되면 DLL이 생성 또는 삭제 -> 호환성 문제 발생
  • Windows에서는 프로그램 호환성 관리자를 통해 이 문제를 해결함

​

• Amcache
  • 모든 실행 파일의 이름, 경로, 크기, 해시값 확인

​

• ShimCache (AppCompatCache)
  • 실행 파일의 이름, 경로, 크기 정보 확인
  • 마지막 실행 시간 확인

​

​

• AmCache & ShimCache 경로
  • %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
  • HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
  • HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

​

• AmcacheParser, AppCompatCacheParser - 분석 도구
  • https://ericzimmerman.github.io/#index.md

​

​

다운로드가 완료되면 새폴더에 압축을 풀어주고 실행한다.

아쉽게도 두 도구들은 CLI 기반이므로 cmd에서 실행한다.

​

desktop에 cache 파일을 만들어주고 도구들을 가져왔다. cmd를 켜주고 AmcacheParser.exe를 실행한다.

​

읽어보면, -f 옵션과 --csv 옵션이 꼭 필요한 것을 알 수 있다.

-f 옵션에는 .hve파일, --csv 옵션에는 저장할 경로를 두면 될 것 같다.

​

바로 .hve 파일을 수집하러 가보자.

[첫번째 경로] - %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve

이동했으면, ftk imager를 켜고 add evidence item - logical - c drive 후 설정을 완료한 후 같은 경로로 이동해준다.

Amcache.hve, log1, log2 파일을 함께 잡고(Ctrl) cache파일에 export files 해준다.

다시 cache 파일에서 열었던 cmd로 돌아와 명령어를 입력해준다.

나는 현재 경로에 그대로 결과를 저장하고 싶으므로 --csv 옵션 다음 ./ (현재경로)를 입력하였다.

필요에 따라 절대경로를 입력해도 된다.

​

지정한 키가 사전에 없습니다. [[오류]]

만약 실습이 성공한다면, amcache에서 볼 수 있는 프로그램 ID ,file key, last write timestamp 등을 볼 수 있다.

그 중 가장 중요한 것은 path!

​

[두번째 실습] - HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache

​

먼저 레지스트리 편집기에서 경로를 확인해보았다.

AppCompatCacheParser.exe는 자동으로 수집이 가능한 대신, 관리자 권한이 필요하기 때문에

cmd를 관리자 권한으로 들어간 다음 파일 경로로 이동해야한다.

경로를 이동한 다음 실행해주면

--csv 옵션이 반드시 필요하다는 문구가 보이고, 다른 옵션들도 확인할 수 있다.

-f 옵션도 보이기는 하지만 필수는 아니고, -f 옵션을 사용하지 않는 경우 live Registry가 사용된다고 한다.

​

별도의 -f 옵션 없이 명령어를 실행하면 수집이 완료된다.

​

파일 내용을 확인해보면 path, 마지막 응용프로그램을 실행한 시각 등의 정보를 확인할 수 있다.

+)시각을 기준으로 필터링을 하여 타임라인을 구성할 수도 있다.