Windows Forensics

윈도우 포렌식

AmCache

개요

  • 윈도우7에서의 RecentFileCache.bcf 파일이 윈도우 8에서는 Amcache.hve파일로 대체
  • 프로그램 호환성 관리자와 관련된 레지스트리 하이브 파일
  • 응용프로그램의 실행정보 저장
  • 응용프로그램의 실행경로, 최초 실행시간, 삭제시간 정보 등 저장
  • 프리패치 파일과 병행하면 프로그램의 전체적인 타임라인 구성 가능

포렌식 관점

  • 모든 실행파일의 목록, 전체 경로 확인

  • 파일의 최초 실행시간, 삭제시간 확인

  • 안티 포렌식 프로그램, 외부 저장장치 흔적 추적

레지스트리 주요경로

번호 레지스트리 경로
1 C:\Windows\appcompat\Programs\AmCache.hve

Amcache.hve 파일 경로 확인
C:\Windows\AppCompat\Programs\Amcache.hve

좌측 운영체제 카테고리에서 AmCache 프로그램 항목 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름, 설치 날짜, SHA1 해시, 버전, 발행자, 유형, 프로그램 ID정보를 확인 할 수 있고
우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 AmCache 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\appcompat\Programs\Amcache.hve

Amcache.hve\Root\InventoryApplication

EnCase로 Amcache.hve 파일 경로 확인
C:\Windows\AppCompat\Programs\Amcache.hve

경로를 찾아간 후 Amcache.hve 파일 확인

Amcache.hve파일은 Hive파일 구조로서 루트키 아래에 여러 개의 키를 가지고 있습니다.

루트키 아래의 InventoryApplication키를 통해 응용프로그램 목록 확인 가능

실행한 응용프로그램의 이름 확인

실행한 응용프로그램의 버전 확인

실행한 응용프로그램의 제조사 확인

실행한 응용프로그램의 타입 확인

해당 응용프로그램의 설치일 확인

해당 응용프로그램의 삭제 문자열 위치 확인

해당 응용프로그램의 레지스트리 위치 확인

%SystemRoot%\Windows\appcompat\Programs\Amcache.hve

[Windows NT Registry]

[Open in Registry Viewer]

AmCache List

InventoryApplication

응용 프로그램 정보

C:\Windows\AppCompat\Programs\Amcache.hve

AmCache\마우스 우클릭\View -> 레지스트리 편집기

AmCache List

Inventory 내 응용프로그램 정보

Inventory 내 응용프로그램 정보

NAME : 응용프로그램 이름

Version : 응용프로그램 버전

Type : 응용프로그램 타입

InstallDate : 응용프로그램 설치일

RootDirPath : 설치 경로

RegistryKeyPath : 레지스트리 key 파일 등록 경로