Windows Forensics

윈도우 포렌식

ShimCache

개요

  • AppCompatCache로 불리기도 한다.
  • 응용 프로그램 간 호환성을 제어하고 트러블슈팅과 문제 해결을 위해 만든 파일
    - 악성코드 실행 시 호환성 문제 발생하기 때문에 침해분석에 활용
  • 모든 실행 파일의 경로, 크기, 마지막 수정시간, 마지막 실행 시간 등의 정보를 저장
  • 프리패치와 비슷한 응용프로그램의 실행 정보 저장
    - 하지만 프리패치는 한정적이라 사라질 가능성이 있음
  • 특정 malware가 실행된 시스템 식별

포렌식 관점

  • 실행 파일의 이름, 경로, 크기 정보 확인

  • 마지막 실행 시간 확인

  • 침해사고 분석에 활용

레지스트리 주요경로

번호 레지스트리 경로
1 HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
2 SYSTEM\ControlSet00x\Control\SessionManager\AppCompatCache

HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache

좌측 운영체제 카테고리에서 ShimCache 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름과 경로 확인이 가능하고 우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 Shim Cache경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\System32\Config\SYSTEM

SYSTEM\ControlSet00x\Control\Session Manager\AppCompatCache

EnCase로 ShimCache를 분석하기 위해 먼저 SYSTEM 하이브 파일의 경로 확인
C:\Windows\System32\Config\SYSTEM

SYSTEM 하이브 파일 확인

SYSTEM 하이브 파일은 윈도우 시스템과 관련된 모든 설정 정보를 담고 있습니다.

ShimCache의 경로는 SYSTEM\ControlSet00x\Control\SessionManager\AppCompatCache\AppCompatCache

경로를 찾아간 후 ShimCache(AppCompatCache) 확인

%SystemRoot%\Windows\System32\config

[Windows NT Registry]

[Open in Registry Viewer]

[Common Areas]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache