Jumplist/Prefetch/MUICache/AmCache&ShimCache 개념 및 실습

1. Jumplist

점프리스트란?

• 최근 사용한 파일/폴더에

빠르게 접근하기 위한 구조

종류

• Automatic : 운영체제가 자동으로 남기는 항목

+프로그램 따로 설치하지 않아도 자동으로 남기는 항목.

• Custom : 응용프로그램이 자체적으로 관리하는 항목

경로

• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

FTK Imager 이용하여 추출

• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

JumpList Explorer 이용하여 분석

프로그램 실행 파일(.exe) 분석 시 사용하는 아키텍쳐

1. Prefetch

응용프로그램의 빠른 실행을 위해서 존재하는 파일

• 응용프로그램을 실행할 때에 생성
• 실행 파일 이름, 경로
• 실행 파일의 실행 횟수
• 실행 파일의 마지막 실행 시간
• 실행 파일의 최초 실행 시간

프리패치의 경로

• %SystemRoot%\Prefetch

WinPrefetchView 이용하여 분석

• https://www.nirsoft.net/utils/win_prefetch_view.html

2. MUICache

Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
• MUI(Multilingual User Interface)
• 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음

응용프로그램을 실행하면 캐시에 기록이 남음

• 실행 파일 경로, 이름
• 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음

MUICache 경로

• HKCU\Software\Classes\Local Settings\MuiCache
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

MUICache View 이용하여 분석

https://www.nirsoft.net/utils/muicache_view.html

4. AmCache & ShimCache

응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시

• 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 à 호환성 문제 발생
• Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결

Amcache

• 모든 실행 파일의 이름, 경로, 크기, 해시값 확인

ShimCache(AppCompatCache)

• 실행 파일의 경로, 최초 실행 시간 확인

AmCache & ShimCache 경로

• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
• HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
• HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache

AmcacheParser, AppCompatCacheParser 이용하여 분석