AmCache 분석 (수집, Tool 사용)

AmCache으로 알 수 있는 것

• 실행 파일의 목록, 전체 경로 확인
• 파일의 최초 실행 시간, 삭제 시간 확인

경로

C:\Windows\appcompat\Programs\AmCache.hve

분석 전 사용 프로그램

Eric Zimmerman 툴 사용 https://ericzimmerman.github.io/#!index.md

1. AmcacheParser (Amcache.hve를 csv로 바꿔줌)
2. Registry Explorer (Amcache.hve 확인)
3. Timeline Explorer (csv 파일을 쉽게 보여줌)
4. Kape (아티팩트 수집)

Kape를 이용하여 아티팩트 수집

Kape 다운로드 후 gkape.exe 실행 (gui 용 kape)
Use Target options 선택 > Target source에서 대상 드라이브 선택 > Target destination에서 덤프할 폴더 선택 > Targets에서 "Amcache" 선택 후 > 오른쪽 아래의 Execute! 실행

수집 후 Amcache.hve 파일을 확인 가능

수집 완료

AmcacheParser

다른 옵션을 잘 모르겠어서 기본 옵션 사용. 설정한 dump 폴더에 6개의 csv 파일이 생성됨. 이후 Timeline Explorer를 사용하여 분석

AmcacheParser.exe -f "Amcache.hve" --csv "dump"

Registry Explorer

덤프한 Amcache.hve 파일을 LOG파일까지 함께 열면 확인이 가능하다.
가끔 경고문이 나오는 데 무시하고 열면 된다. 아래는 경고문 내용이다.

1. 트랜잭션 로그에 커밋되지 않은 데이터 있는 경우 (No)

Primary and secondary sequence numbers do not match
this means there is uncommitted data in the transaction logs
do you want to replay transaction logs against this hive?
Note: To bypass this dialog and have logs replayed automatically, hold SHIFT when loading hives

2. 더러운 하이브를 로드 하시겠습니까? (Yes)

Do you want to load the dirty hive?
Note: The dirty hive may not load depending on the state of the hive.
If it fails to load, disable Option I Recover deleted keys\values and try again