[Windows Artifacts] Amcache

 

윈도우 아티팩트

(1) Amcache란?

  • 윈도우 7에서의 RecentFileCache.bcf 파일이 윈도우 8에서는 Amcache.hve 파일로 대체

  • 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일

  • 응용 프로그램의 실행 정보 저장

  • 응용 프로그램의 실행 경로, 최초 실행 시간, 삭제 시간 정보 등 저장

  • 프리패치 파일과 병행하면 프로그램의 전체적인 타임라인 구성 가능

(2) Amcache 상세 내용

2-1. Kind of

  • Windows OS Function

2-2. Information

  • File's All Metadata, Product Name, File Version, File Size, SHA-1 hash, Full Path, Etc.

2-3. Path

  • %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve

2-4. Characteristic

  • Replacement for a RecentFileCache.bcf

  • Hive structure

  • Much more information RecentFileCache.bcf

2-5. Tools

  • AmcacheParser

 

2-5-1. AmcacheParser : https://ericzimmerman.github.io

 

Eric Zimmerman's tools

 

ericzimmerman.github.io

 

[그림 1] Amcache 분석 예시

(3) 아티팩트 수집 및 분석 실습

3-1. FTK Imager > Windows > appcompat > Programs 폴더 Amcache 아티팩트 확인

  • 마우스 우클릭 - Export Files

[그림 2] FTK Imager - Amcache 아티팩트 수집

 

Amcache 아티팩트를 확인한 후에, 마우스를 우클릭하면 Export Files 기능을 통해 아티팩트 수집을 진행한다.

 

여기서 중요한 것은, 아티팩트 수집(추출)이나 출력 결과물 저장은 수집 대상물의 데이터 무결성을 위해 분석 환경에서 진행해야 하며, 가상 환경 공유 폴더나 이동식 매체로 지정해야 한다.

 

즉, 수집 도구에 의한 수집물은 '이동식 매체'로 저장하고 분석 결과도 수집 대상물에 저장되지 않도록 분석은 수집 대상물 PC가 아닌 분석용 로컬 PC(호스트)에서 진행해야 한다.

 

수집된 파일이나, 디렉토리는 수집 대상물의 디스크에 바로 저장되어서는 안 되며, 바로 공유 폴더  등의 이동식 매체에 저장되어야 데이터 무결성이 깨지지 않는다.

 

또한, 아티팩트를 수집할 시에 MAC 타임 보존은 필수적으로 숙지하고 진행한다.

 

[그림 3] 해당 아티팩트 공유 폴더 지정 예시

 

위 [그림 3]은 해당 아티팩트 분석을 위해 분석 환경 공유 폴더로 해당 파일을 지정해 준 화면이다.

 

 

 

3-2. Registry Explorer 활용, Amcache 분석

 

[그림 4] Registry Explorer

 

원래는 Amcache Parser로 진행하려고 하였지만, 예상지 못한 오류 발생으로 인하여 Registry Explorer로 대체하였다.

 

Amcache.hve 파일과 LOG 파일들을 로드한 다음, CSV 파일로 만들어 분석을 진행한다.

 

 

3-3. CSV 파일 분석 (Sublime Text 3)

 

[그림 5] CSV 파일 분석

 

기존 Amcache 하이브 파일이라면, 데이터의 크기가 매우 커야 하며, 많은 양의 데이터를 담고 있어야 한다.

 

하지만, 호스트 Amcache 파일임에도 불구하고, 삭제한 기록도 존재하지 않는데 왜 데이터의 크기가 이렇게 작은지 모르겠다..

 

일단 간단하게 레코드 및 컬럼 분석을 진행해보자..

 

 

3-4. 레코드 및 컬럼 분석

 

[그림 6] 레코드 및 컬럼 분석

 

  • 해당 내용은 rlvknlg32.exe 파일에 대한 정보이며, 18은 values 값을 의미하며, 0은 서브키, 마지막에 보이는 시간은 가장 마지막으로 사용한 타임스탬프 정보 (레지스트리 분석 법과 동일)

Amcache 아티팩트의 데이터 크기가 매우 적어 제대로 된 분석을 수행할 수가 없다..

 

추후에 데이터 내용이 많은 Amcache를 분석하여 수정하도록 하고, 우선 분석 방법이랑 내용만 익히도록 하자..

(4) 추가 내용 정리

  • Amcache는 윈도우 7에서의 'RecentFileCache.bcf' 파일이 윈도우 8부터 레지스트리 하이브 파일인 'Amcache.hve'로 대체 

  •  최근 실행한 프로그램에 대한 정보를 저장하며, 실행 파일의 경로나 TimeStamp, PE 헤더 데이터와 파일 정보에 대한 여러 정보를 저장

  • 작은 Hive 파일 구조이며, 루트키 아래의 File, Generic, Orphan, Programs 등 4개의 키를 가짐

  • 포렌식 관점으로는 다음 내용과 같음

    • 모든 실행 파일의 목록, 전체 경로 확인

    • 파일의 최초 실행 시간, 삭제 시간 확인

    • 안티 포렌식 프로그램, 외부 저장장치 흔적 추적

 

# Reference

 

http://www.forensic-artifact.com/windows-forensics/amcache

 

https://www.ssi.gouv.fr/uploads/2019/01/anssi-coriin_2019-analysis_amcache.pdf

저작자표시

'Digital Forensics > Artifacts' 카테고리의 다른 글

[Windows Artifacts] WER  (0) 2020.05.25
[Windows Artifacts] Task Scheduler  (0) 2020.05.25
[Windows Artifacts] Recycle Bin  (0) 2020.05.25
[Windows Artifacts] Jump Lists  (0) 2020.05.25
[Windows Artifacts] Shortcut (LNK)  (0) 2020.05.25

+ Recent posts

티스토리툴바