관심 세미나 등록

원하시는 세미나를 사전 등록하시면
세미나 오픈시 우선적으로 자동 신청되어 알려드립니다.

* 세미나 개최는 신청자가 많은 순으로 결정됩니다.

입사 지원

인섹시큐리티에서는 신입/경력부문 상시채용과 공개채용 방식을 같이 진행하고 있습니다
제출한 이력서 기반으로 지원자격 심사평가를 진행합니다.

Windows Forensics

윈도우 포렌식

AmCache

개요

  • 윈도우7에서의 RecentFileCache.bcf 파일이 윈도우 8에서는 Amcache.hve파일로 대체
  • 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일
  • 응용프로그램의 실행정보 저장
  • 응용프로그램의 실행경로, 최초 실행시간, 삭제시간 정보 등 저장
  • 프리패치 파일과 병행하면 프로그램의 전체적인 타임라인 구성 가능

포렌식 관점

  • 모든 실행파일의 목록, 전체 경로 확인

  • 파일의 최초 실행시간, 삭제시간 확인

  • 안티 포렌식 프로그램, 외부 저장장치 흔적 추적

하이브 파일 주요경로

번호 파일 경로
1 C:\Windows\appcompat\Programs\AmCache.hve

Amcache.hve 파일 경로 확인
C:\Windows\AppCompat\Programs\Amcache.hve

좌측 운영체제 카테고리에서 AmCache 프로그램 항목 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름, 설치 날짜, SHA1 해시, 버전, 발행자, 유형, 프로그램 ID정보를 확인 할 수 있고
우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 AmCache 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\appcompat\Programs\Amcache.hve

Amcache.hve\Root\InventoryApplication

EnCase로 Amcache.hve 파일 경로 확인
C:\Windows\AppCompat\Programs\Amcache.hve

경로를 찾아간 후 Amcache.hve 파일 확인

Amcache.hve파일은 Hive파일 구조로서 루트키 아래에 여러 개의 키를 가지고 있습니다.

루트키 아래의 InventoryApplication키를 통해 응용프로그램 목록 확인 가능

실행한 응용프로그램의 이름 확인

실행한 응용프로그램의 버전 확인

실행한 응용프로그램의 제조사 확인

실행한 응용프로그램의 타입 확인

해당 응용프로그램의 설치일 확인

해당 응용프로그램의 삭제 문자열 위치 확인

해당 응용프로그램의 레지스트리 위치 확인

%SystemRoot%\Windows\appcompat\Programs\Amcache.hve

[Windows NT Registry]

[Open in Registry Viewer]

AmCache List

InventoryApplication

응용 프로그램 정보

C:\Windows\AppCompat\Programs\Amcache.hve

AmCache\마우스 우클릭\View -> 레지스트리 편집기

AmCache List

Inventory 내 응용프로그램 정보

Inventory 내 응용프로그램 정보

NAME : 응용프로그램 이름

Version : 응용프로그램 버전

Type : 응용프로그램 타입

InstallDate : 응용프로그램 설치일

RootDirPath : 설치 경로

RegistryKeyPath : 레지스트리 key 파일 등록 경로

오픈소스인 MiTeC Windows Registry Recovery 프로그램을 활용하여 AmCache 분석
응용 프로그램의 실행정보를 저장하고 있는 AmCache.hve 파일을 수집하여 실제 저장 경로 파싱

여러 개의 하위 키중 InventoryApplication 키의 각각의 응용프로그램 키 존재
응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인

마찬가지로 오픈소스인 RegistryExplorer 프로그램을 활용하여 AmCache 분석
응용 프로그램의 실행정보를 저장하고 있는 AmCache.hve 파일을 수집하여 실제 저장 경로 파싱

여러 개의 하위 키중 InventoryApplication 키의 각각의 응용프로그램 키 존재
응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인

>

마지막으로 오픈소스인 REGA_v1.5.3 프로그램을 활용하여 AmCache 분석
응용 프로그램의 실행정보를 저장하고 있는 AmCache.hve 파일을 수집하여 실제 저장 경로 파싱

여러 개의 하위 키중 InventoryApplication 키의 각각의 응용프로그램 키 존재
응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인

실제 경로를 찾아가지 않고 AmCache 분석 가능
우측 [도구 상자] – [응용프로그램 정보] – [AmCache.hve]를 통해서 AmCache 분석

응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인