02 MUICache
• Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
• MUI(Multilingual User Interface)
• 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
• 응용프로그램을 실행하면 캐시에 기록이 남음
• 실행 파일 경로, 이름
• 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
• MUICache 경로
• HKCU\Software\Classes\Local Settings\MuiCache
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
• MUICache View 이용하여 분석
• https://www.nirsoft.net/utils/muicache_view.html
03 AmCache & ShimCache
• 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
• 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 à 호환성 문제 발생
• Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
• Amcache
• 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
• ShimCache(AppCompatCache)
• 실행 파일의 경로, 최초 실행 시간 확인
• AmCache & ShimCache 경로
• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
• HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
• HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
• AmcacheParser, AppCompatCacheParser 이용하여 분석
• https://ericzimmerman.github.io/#!index.md
01 Web Browser
• 인터넷을 이용하기 위해 실행하는 응용 프로그램
Chrome Edge Whale
• 브라우저를 통해 하는 일들
• 웹 검색
• 로그인
• 파일 다운로드
• 영상 시청
Web Browser Artifacts
• 브라우저 아티팩트란?
• History: 방문한 URL, 방문 횟수, 방문 시각 등
• Cache: 캐시로 저장되는 이미지, 텍스트, 스크립트, 아이콘, 시간, 크기 등
• Cookie: 사용자 데이터, 자동 로그인 등
• Download list: 저장 경로, URL, 크기, 시간, 성공 여부 등
02 Tools & Practice
• 브라우저별 경로
• Chrome: %UserProfile%\AppData\Local\Google\Chrome\User Data\Default\
• Edge: %UserProfile%\AppData\Local\Microsoft\Windows\WebCache\
• Whale: %UserProfile%\AppData\Local\Naver\Naver Whale\User Data\Default\
• Chrome 아티팩트 분석
• History
• Cache
• Top Sites
• Shortcuts
• Bookmarks
• Last Tabs
• DB Browser for SQLite
https://sqlitebrowser.org/
• Edge 아티팩트 분석
• WebCacheV01.dat
• ESEDatabaseView
https://www.nirsoft.net/utils/ese_database_view.html
• BrowsingHistoryView
• https://www.nirsoft.net/utils/browsing_history_view.html
• Chrome
• ChromeCacheView, Hindsight
• Edge
• IE10Analyzer, ESEDatabaseView
• Whale
• Carpe Forensics
01 ThumbnailCache
• 썸네일(Thumbnail)
• ‘미리보기 파일’을 의미함
• Windows에서는 썸네일 사진들을 미리 생성하여 보관하고 있음
• %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
• thumbcache_{크기}.db
IconCache
• Windows 아이콘(Icon)을 보여주기 위해서 가지고 있는 캐시
• 공통의 아이콘을 사용(일반적인 폴더, 파일)
• 별도의 아이콘을 사용(응용프로그램)
• Windows에서는 아이콘 사진들을 별도의 공간에 모아서 보관함
• %UserProfile%\AppData\Local\Microsoft\Windows\Explorer
• iconcache_{}.db
ThumbnailCache & IconCache
포렌식적 의미
• ThumbnailCache
• 분석 대상 PC에 해당 파일이 존재하였음을 나타냄
• 해당 파일이 삭제되더라도 ThumbnailCache는 사라지지 않음
• IconCache
• 분석 대상 PC에 존재했던 응용프로그램의 종류를 확인 가능
• 외부저장매체 사용 흔적 파악
• 안티포렌식 도구 사용 흔적, 악성코드 실행 흔적 파악
• 해당 응용프로그램이 삭제되더라도 IconCache는 사라지지 않음
ThumbnailCache & IconCache - Practice
• Thumbcache Viewer 다운로드
• https://thumbcacheviewer.github.io/
'4-1. 2025-1 심화 스터디 > 디지털 포렌식' 카테고리의 다른 글
| [2025.05.24] 포렌시크 8주차 활동 (0) | 2025.05.24 |
|---|---|
| [2025.04.05] 포렌시크_4주차_활동 (0) | 2025.04.05 |
| [2025.03.29] 포렌시크_3주차_활동 (0) | 2025.03.29 |
| [2025.03.22] 포렌시크_2주차_활동 (1) | 2025.03.22 |
