1. Jumplist

최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조

• Automatic: 운영체제가 자동으로 남기는 항목
  • 경로: %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
• Custom: 응용프로그램이 자체적으로 관리하는 항목
  • 경로: %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

JumpList Explorer

LNK 파일에 대한 정보도 추출 및 분석 가능

2. Prefetch

응용프로그램의 빠른 실행을 위해 존재하는 파일

응용프로그램을 실행할 때 생성: 실행 파일 이름, 경로, 실행 횟수, 마지막 실행 시간, 최초 실행 시간

경로: %SystemRoot%\Prefetch

WinPrefetchView

3. MUICache

Windows에서 다중 언어를 지원하기 위해 존재하는 캐시

• MUI(Multilingual User Interface)
• 실행 파일 별, 유저언어 이름을 별도로 저장

응용프로그램을 실행하면 캐시에 기록이 남음

• 실행 파일 경로, 이름
• 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음

경로

• HKCU\Software\Classes\Local Settings\MuiCache
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

MUICahceView

4. AmCache & ShimCache

응용프로그램과 운영체제의 호환성을 위한 캐시

• 운영체제가 업데이트되면 DLL이 생성 혹은 삭제되어 호환성 문제 발생
• 프로그램 호환성 관리자가 이 문제를 해결

1) AmCache

모든 실행 파일의 이름, 경로, 크기, 해시값 정보

2) ShimCache

실행 파일의 이름, 경로, 크기 정보

마지막 실행 시간

경로

• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
  

• HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache

• HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

AmcacheParser

AmcacheParser.exe -f "C:\Temp\amcache\AmcacheWin10.hve" --csv C:\temp

응용프로그램 실행 흔적을 보려면 UnassociatedFileEntries.csv를 분석

AppCompatCacheParser

AppCompatCacheParser.exe --csv c:\temp

-f 옵션으로 경로 지정하지 않는 경우 live registry 분석

결과 csv 파일 분석