[지금 무료] 기초부터 따라하는 디지털포렌식 | 훈지손 - 인프런
훈지손 | 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다., 초보자 눈높이에 딱 맞춘, 원리를 이해하는 디지털
www.inflearn.com
해당 영상 참고하여 작성한 글입니다.
운영체제에서 특정한 목적을 가지고 만든 Artifact 4가지를 중심으로 학습한다.
1. Prefetch 개념 및 실습
개념
Prefetch
• 응용프로그램의 빠른 실행을 위해서 존재하는 파일
하드디스크에서 기록을 RAM메모리에 올려서 그걸 CPU가 가져오는 방식...
예전엔 하드디스크와 RAM 간의 로딩이 오래 걸렸음 .. 그래서 Prefetch라는 영역을 이용함
• 응용프로그램을 실행할 때에 생성
- 실행 파일 이름, 경로
- 실행 파일의 실행 횟수
- 실행 파일의 마지막 실행 시간
- 실행 파일의 최초 실행 시간
실습
1) WinPrefetchView 이용하여 분석 (아래 링크에서 설치)
• https://www.nirsoft.net/utils/win_prefetch_view.html
2) 프리패치의 경로로 이동
%SystemRoot%\Prefetch
무결성 훼손을 고려하여 prefetch 파일을 별도로 수집하여 실행.
응용프로그램이 삭제된다고 관련 정보도 같이 삭제되지 않는다는 점이 중요하다.
2. MUICache 개념 및 실습
개념
• MUI(Multilingual User Interface)
• Windows에서 다중 언어를 지원하기 위해 존재하는 캐시 (응용프로그램의 다국어 지원을 위해 MUI 파일을 같이 만들어서 배포함. 이런 파일을 만들 때 MUI 캐시가 같이 생성됨)
• 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
• 응용프로그램을 실행하면 캐시에 기록이 남음
• 실행 파일 경로, 이름
• 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
실습
1) 레지스트리 편집기(regedit)를 이용하여 UICache 경로
• HKCU\Software\Classes\Local Settings\MuiCache
윈도우에서 기본적으로 제공하는 것들 (한국어 지원이 잘 되어있음)
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
서드파티 응용프로그램...
1.1) MUICache View 이용하여 분석
• https://www.nirsoft.net/utils/muicache_view.html
실행시간이 남지 않는다는 게 아쉬운 점이다... 다른 응용 프로그램과 함께 교차검증할 때 사용하기 좋다.
3. AmCache&ShimCache 개념 및 실습
개념
• 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
• 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 à 호환성 문제 발생
• Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
• Amcache
: 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
• ShimCache(AppCompatCache)
: 실행 파일의 경로, 최초 실행 시간, 마지막 실행시간 확인
실습
1) 도구 다운로드
• AmcacheParser, AppCompatCacheParser 이용하여 분석
• https://ericzimmerman.github.io/#!index.md
CLI 기반 프로그램
2) AmcacheParser.exe 실행
(뭐가 문젠지 잘 안 돼서 이것저것 해보다가 우클릭 터미널에서 열기 - AmcacheParser.exe해줌)
• AmCache 경로
• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
2.1) FTK imager 실행
** 원본, log1, log2는 항상 같이 수집**
[C] - [NONMAE] - [root] - [windows] - [appcompat] - [programs] - [Amcache.hve]
Registry 파일을 생성하여 그 안에 추출해준다.
AmcacheParser.exe -f registry\Amcache.hve
(상대경로)
Amcache_UnassociatedFileEntries.csv만 확인하면 된다.
# 가장 중요한 건 Path!!
3) ShimCache 분석
• ShimCache 경로 (레지스트리 편집)
• HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
• HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
(항상 이 경로가 아닐 수 있음. 001이 아니라 002/ 003일 수도..)
관리자 권한으로 cmd 실행
.\AppCompatCacheParser.exe --csv ./
라이브 레지스트리 이용 (따로 수집하여 이용하는 경우에는 -f 옵션 사용)
생성된 엑셀 파일 확인해준다.
참고
4강자료.pdf
drive.google.com
'SWLUG > forensic' 카테고리의 다른 글
| [디지털포렌식] 8. 브라우저 아티팩트 개념 및 실습 (0) | 2024.05.18 |
|---|---|
| [디지털포렌식] 6. 바로가기(.LNK) & Jumplist 개념 및 실습 (1) | 2024.05.11 |
| [디지털포렌식] 5. $MTF, $LogFile, $UsnJrl 개념 및 실습 (0) | 2024.05.06 |
| [디지털포렌식] 4(2). Windows registry 실습 (1) | 2024.04.28 |
| [디지털포렌식] 4(1). Windows registry 이론 (0) | 2024.04.28 |