[무료] 기초부터 따라하는 디지털포렌식 - 인프런 | 강의
기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., - 강의 소개 | 인프런
www.inflearn.com
섹션3. MUICache 개념 및 실습 ~ ThumbnailCache & IconCache 개념 및 실습
MUICache
Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
ex) 7zip이라는 프로그램을 여러 국가에 배포할 때 여러 언어를 제공하기 위해서 MUI 파일들을 만들어 배포하는데 이때 생성되는 캐시
MUI(Multilingual User Interface)
실행 파일 별로, 유저 언어 이름을 별도로 저장하고 있음
응용프로그램을 실행하면 캐시에 기록이 남음
실행 파일 경로, 이름
실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
MUICache 경로
HKCU\Software\Classes\Local Settings\MuiCache
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
MUICache View 이용하여 분석
http://www.nirsoft.net/utils/muicache_view.html
MUICacheView - Edit/delete MUICache items
MUICacheView v1.01 Copyright (c) 2008 - 2010 Nir Sofer Description Each time that you start using a new application, Windows operating system automatically extract the application name from the version resource of the exe file, and stores it for usin
www.nirsoft.net
AmCache & ShimCache
응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
운영체제가 업데이트되면 DLL이 생성 혹은 삭제 => 호환성 문제 발생
Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
ex) Windows7을 쓰다가 Windows11로 업그레이드를 할때 윈도우 개발자들이 DLL이라는 프로그램을 계속해서 바꾸게 된다. DLL들을 응용프로그램에서는 API라는 것을 이용하여 DLL에 포함되어 있는 함수를 호출하게 되는데 이 DLL이 변경되기 때문에 응용프로그램에서 API를 호출할 때 호환성 문제가 발생하게 된다. Windows에서는 프로그램 호한성 관리자를 이용하여 문제를 해결하는데 이 과정에서 AmCache와 ShimCache가 생성된다.
AmCache
모든 실행 파일의 이름, 경로, 크기, 해시값 확인
ShimCache (AppCompatCache)
실행파일의 이름, 경로, 크기 정보 확인
마지막 실행 시간 확인
AmCache & ShimCache 경로
%SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
AmcacheParser, AppCompatCacheParser 이용하여 분석 (CLI 동작 기반)
https://ericzimmerman.github.io/#!index.md
Eric Zimmerman's tools
ericzimmerman.github.io
**Log파일도 같이 수집해야 한다.**
Web Browser Artifacts
Web Browser
인터넷을 이용하기 위해 실행하는 응용프로그램
ex) Chrome, Edge, Whale
브라우저를 통해 하는 일들
웹 검색, 로그인 정보, 파일 다운로드, 영상 시청
브라우저 아티팩트란?
웹브라우저가 행하는 수많은 행동들을 포렌식적으로 분석하는 것
History : 방문한 URL, 방문 횟수, 방문 시각 등
Cache : 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
Cookie : 사용자 데이터, 자동 로그인 등
Download list : 저장 경로, URL, 크기, 시간, 성공 여부 등
브라우저별 경로
Chrome : %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
Edge : %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
Whale : %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\
브라우저별 분석도구
Chrome : ChromeCacheView, Hindsight
Edge : IE10Analyzer, ESEDatabaseView
Whale : Carpe Forensics
ThumbnailCache & IconCache
썸네일(Thumbnail)
: '미리보기 파일'을 의미함
Windows에서는 썸네일 사진들을 미리 생성하여 보관한다.
%UserProfile%\AppData\Local\Microsoft\Windows\Explorer
IconCache
Windows 아이콘(Icon)을 보여주기위해서 가지고 있는 캐시
공통의 아이콘을 사용(일반적인 폴더, 파일)
별도의 아이콘을 사용(응용프로그램)
Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관한다.
%UserProfile%\AppData\Local\Microsoft\Windows\Explorer
포렌식적 의미
ThumbnailCache
분석 대상 PC에 해당 파일이 존재하였음을 나타냄
해당 파일이 삭제되더라고 ThumbnailCache는 사라지지 않음
IconCache
분석 대상 PC에 존재했던 응용프로그램의 종류를 확인 가능
외부 저장매체 사용 흔적 파악
안티포렌식 도구사용 흔적, 악성코드 실행 흔적 파악
해당 응용프로그램이 삭제되더라고 IconCache는 사라지지 않음
마치며
실습화면은 내 컴퓨터의 정보가 너무 많이 노출되는 것 같아 올리지 못 했지만 재미있었다. 이전에 메모리 포렌식할때 보다 윈도우 포렌식이 내가 검색했던 기록이나 로그인했던 것들에 대한 정보를 볼 수 있어서 더 현실감이 있었던 것 같다. 그나저나 인터넷 사용 조심해야겠다 ㅇㅁㅇ 이렇게 줄줄줄 데이터들이 다 나오다니
'학회_공부해요 > 디지털포렌식' 카테고리의 다른 글
| [암호화폐 수사] 02. 하드 비트 (0) | 2024.03.26 |
|---|---|
| [암호화폐 수사] 01. 암호화폐란 무엇인가? (0) | 2024.03.19 |
| [디지털포렌식_기초]6주차 윈도우 포렌식 (0) | 2023.05.15 |
| [디지털포렌식_기초]5주차 윈도우 포렌식 (0) | 2023.05.08 |
| [디지털포렌식_기초]4주차 메모리 포렌식 (0) | 2023.05.03 |