본문 바로가기
4-1. 2025-2 심화 스터디/디지털 포렌식 2팀

[25.12.02] 포포포 7주차 활동

bomnari02 2025. 12. 5. 22:35

섹션4(MUICache 개념 및 실습) ~ 섹션4 (Thumbnail Cache)

1. MUICache의 개념

MUICache는 Windows 운영체제에서 다국어 사용자 인터페이스(MUI: Multilingual User Interface)를 지원하기 위해 사용되는 캐시 중 하나로, 사용자가 실행한 GUI 기반 프로그램의 “사람이 읽을 수 있는 이름”을 저장하기 위해 존재하는 레지스트리 키이다. 이 값은 일반적으로 프로그램이 실행될 때 Windows Shell이 해당 프로그램의 FileDescription 또는 ProductName 등을 읽어와 저장하는 방식으로 생성된다.

MUICache는 프로그램이 실제로 실행되었다는 흔적을 일정 부분 남기기 때문에 포렌식에서 중요한 아티팩트로 분류된다. 프로그램이 삭제되거나 이동된 이후에도 MUICache 값이 남아 있을 수 있어, 사용자가 과거에 특정 프로그램을 실행한 적이 있다는 간접적인 증거로 활용됨이 특징이다.

MUICache는 실행 횟수나 실행 시간 정보 등을 저장하지 않기 때문에 독립적으로는 완전한 행위 분석이 불가능하다. 그러나 다른 로그(ShimCache, Amcache, UserAssist 등)와 조합하면 보다 구체적인 프로그램 사용 흔적을 복원할 수 있다.

1.1 MUICache의 저장 위치

운영체제 버전마다 레지스트리 저장 위치가 조금씩 다르지만, 일반적으로 다음 경로들이 사용된다.

  • Windows Vista 이후
    HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
  • Windows XP
    HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

각 항목의 이름은 대부분 실행 파일의 전체 경로이며, 값은 FileDescription에 해당하는 문자열이다. 프로그램이 설치된 경로, 실행 파일 이름, 일부 프로그램 정보가 남을 수 있다.

1.2 MUICache 생성 및 삭제 특성

MUICache는 다음과 같은 특징을 가진다.

  1. 사용자가 GUI 방식으로 실행한 프로그램에 대해서만 생성되는 경향이 있다.
  2. 프로그램 삭제 여부와 상관없이, 레지스트리 정보는 그대로 남아 있는 경우가 많다.
  3. 실행 시간, 실행 횟수, 실행 인자 등의 정보는 저장하지 않는다.
  4. 항목은 운영체제가 특정 조건에서 갱신하거나 정리(clean up)할 수 있으므로, 반드시 완전하고 영구적인 기록은 아니다.

이 때문에 MUICache는 단독 증거로 사용되기보다는, 프로그램 실행 여부를 입증할 수 있는 보조적 근거로 활용된다.

1.3 포렌식 활용 방식

포렌식에서는 MUICache 데이터를 다음과 같은 방식으로 활용한다.

  • 시스템에서 어떤 프로그램이 과거에 존재했는지 확인
  • 특정 시점에 악성코드 또는 불법 프로그램이 설치 및 실행된 것으로 추정되는 경우 보조 증거 확보
  • EXE 파일이 삭제되었지만 흔적이 필요한 경우
  • Amcache, ShimCache, RecentFileCache 등과 함께 프로그램 실행 타임라인을 구성할 때 참고 자료로 사용

MUICache는 단독으로 실행 시간을 제공하지 않으므로, 시간적 정보가 필요한 경우 다른 아티팩트와 교차 분석하여 유추해야 한다.

2. Thumbnail Cache의 개념

Thumbnail Cache는 Windows 운영체제가 파일 탐색기에서 이미지, 동영상, 문서 등의 썸네일 이미지를 빠르게 표시하기 위해 생성하는 캐시 파일이다. 사용자가 특정 폴더를 열면 Windows는 해당 폴더의 파일에 대한 썸네일을 생성하여 데이터베이스(DB) 형태의 파일에 저장하고, 이후 동일한 리소스를 다시 접근할 때 캐시된 썸네일을 불러오는 방식으로 성능을 최적화한다.

Thumbnail Cache는 단순히 편의 기능을 위한 캐시처럼 보이지만, 실제 포렌식 분석에서는 중요한 흔적이 된다. 원본 파일이 삭제되거나 이동되더라도 썸네일 데이터베이스에 남아 있는 경우가 있어, 사용자가 어떤 이미지나 동영상을 열어보았는지, 어떤 파일이 과거에 시스템에 존재했는지를 복원할 수 있기 때문이다.

2.1 Thumbnail Cache 저장 위치

Windows 7 이후 버전에서는 다음 경로에 저장된다.

  • C:\Users\<사용자명>\AppData\Local\Microsoft\Windows\Explorer\thumbcache_*.db

파일 이름은 해상도나 용도에 따라 다양하다. 예를 들어:

  • thumbcache_32.db
  • thumbcache_96.db
  • thumbcache_256.db
  • thumbcache_1280.db
  • thumbcache_sr.db (small resolution)
  • thumbcache_wide.db 등

이 DB 파일 안에는 각종 미리보기 이미지가 저장되어 있으며, 일부 파일은 원본의 축소 이미지가 그대로 들어 있어 원본 유사 이미지가 재현되기도 한다.

2.2 Thumbnail Cache의 포렌식적 가치

Thumbnail Cache는 다음과 같은 관점에서 중요하다.

  1. 삭제된 파일의 흔적 확인
    원본 파일이 삭제되어도 썸네일 캐시는 삭제되지 않는 경우가 많아, 사용자의 파일 사용을 확인할 수 있다.
  2. 범죄 관련 이미지 또는 자료 확인
    피해자 혹은 용의자가 문제적 파일을 열어본 흔적을 확인 가능하다.
  3. 사용자 파일 접근 이력 확인
    사용자 계정 별로 Thumbnail Cache가 생성되므로, 특정 사용자 활동과 연결하기에도 용이하다.
  4. 아이템의 마지막 접근 흔적
    파일 열람과 동시에 썸네일이 업데이트된 경우 원본 파일 존재 시점을 유추할 수 있다.

이러한 이유로 Thumbnail Cache는 윈도우 포렌식에서 “가시적 흔적(Visual Trace)”로 분류되며, 이미지 기반 분석 시 반드시 포함되는 항목이다.

2.3 Thumbnail Cache 분석 도구

일반적으로 다음과 같은 도구들이 사용된다.

  • Thumbnail Database Viewer
  • Eric Zimmerman's ThumbCache Parser (ThumbCache Parser, ShellBags Explorer 등과 함께 사용)
  • X-Ways Forensics
  • EnCase, FTK 등 상용 포렌식 도구

이 도구를 사용하여 DB 파일 내 이미지를 추출·확인할 수 있으며, 파일명, 경로 해시 정보, 생성 시점 등을 분석할 수 있다.

3. IconCache 개념

Thumbnail Cache와 유사하지만, IconCache는 파일과 프로그램의 아이콘을 저장하는 캐시이다. 아이콘 이미지도 여러 파일에서 반복적으로 사용되기 때문에, 운영체제는 성능 최적화를 위해 별도로 캐싱한다.

IconCache의 파일은 일반적으로 다음 경로에 존재한다.

  • C:\Users\<사용자명>\AppData\Local\Microsoft\Windows\Explorer\iconcache*.db

아이콘 캐시는 프로그램 실행 및 설치 여부를 감지하는 데 활용될 수 있다. 실행 파일이 삭제되었어도 그 아이콘이 캐시에 남아 있으면, 과거에 해당 프로그램이 존재했음을 추정할 수 있다.

4. MUICache, Thumbnail Cache, IconCache의 상호 관계

이 세 가지는 모두 Windows Shell에서 사용되는 캐시이며, 사용자가 시스템을 어떻게 활용했는지 간접적으로 보여주는 흔적이라는 공통점이 있다. 포렌식 분석에서는 다음과 같이 활용된다.

  1. MUICache
    사용자가 실행한 프로그램 목록을 추정하는 데 활용.
  2. Thumbnail Cache
    사용자가 열어본 이미지, 동영상, 문서 등의 존재 여부 확인.
  3. IconCache
    프로그램 또는 파일이 시스템에 존재했음을 보조적으로 입증.

이들 캐시는 단독으로 시간 정보를 명확히 제공하지는 않지만, 시스템 로그, Amcache, ShimCache, Prefetch, LNK 파일 등의 아티팩트와 조합할 경우 보다 높은 신뢰도의 활동 타임라인을 구축할 수 있다.

5. 실습 개요

강의에서 주로 다루는 실습 흐름은 다음과 같다.

  1. MUICache 레지스트리 위치 확인
  2. MUICacheView 또는 ERIC Zimmerman 도구 사용
  3. EXE 파일 실행 후 MUICache 생성 여부 확인 실습
  4. ThumbnailCache DB 파일 추출
  5. ThumbnailCache 전용 뷰어를 사용하여 이미지 확인
  6. 삭제된 파일의 미리보기 이미지가 남아 있는지 분석
  7. IconCache 파일을 열어 실행 파일 존재 여부 확인

이 과정을 통해 실제 포렌식 분석에서 어떻게 GUI 프로그램 실행 흔적과 파일 열람 흔적을 확보할 수 있는지를 이해할 수 있다.

'4-1. 2025-2 심화 스터디 > 디지털 포렌식 2팀' 카테고리의 다른 글

[25.11.28] 포포포_6주차_활동  (0) 2025.11.28
[25. 11. 21] 포포포_5주차_활동  (0) 2025.11.21
[25.11.14] 포포포_4주차_활동  (0) 2025.11.14
[2025.09.27] 포포포_3주차_활동  (0) 2025.10.03
[2025.09.20] 포포포_2주차_활동  (0) 2025.09.26

'4-1. 2025-2 심화 스터디/디지털 포렌식 2팀' Related Articles

티스토리툴바