Amcache.hve 파일 경로 확인
C:\Windows\AppCompat\Programs\Amcache.hve

좌측 운영체제 카테고리에서 AmCache 프로그램 항목 아티팩트 클릭

[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름, 설치 날짜, SHA1 해시, 버전, 발행자, 유형, 프로그램 ID정보를 확인 할 수 있고
우측 [세부 정보]테이블을 통해서도 확인 가능

[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 AmCache 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동

C:\Windows\appcompat\Programs\Amcache.hve

Amcache.hve\Root\InventoryApplication

EnCase로 Amcache.hve 파일 경로 확인
C:\Windows\AppCompat\Programs\Amcache.hve

경로를 찾아간 후 Amcache.hve 파일 확인

Amcache.hve파일은 Hive파일 구조로서 루트키 아래에 여러 개의 키를 가지고 있습니다.

루트키 아래의 InventoryApplication키를 통해 응용프로그램 목록 확인 가능

실행한 응용프로그램의 이름 확인

실행한 응용프로그램의 버전 확인

실행한 응용프로그램의 제조사 확인

실행한 응용프로그램의 타입 확인

해당 응용프로그램의 설치일 확인

해당 응용프로그램의 삭제 문자열 위치 확인

해당 응용프로그램의 레지스트리 위치 확인

%SystemRoot%\Windows\appcompat\Programs\Amcache.hve

[Windows NT Registry]

[Open in Registry Viewer]

AmCache List

InventoryApplication

응용 프로그램 정보

C:\Windows\AppCompat\Programs\Amcache.hve

AmCache\마우스 우클릭\View -> 레지스트리 편집기

AmCache List

Inventory 내 응용프로그램 정보

Inventory 내 응용프로그램 정보

NAME : 응용프로그램 이름

Version : 응용프로그램 버전

Type : 응용프로그램 타입

InstallDate : 응용프로그램 설치일

RootDirPath : 설치 경로

RegistryKeyPath : 레지스트리 key 파일 등록 경로

오픈소스인 MiTeC Windows Registry Recovery 프로그램을 활용하여 AmCache 분석
응용 프로그램의 실행정보를 저장하고 있는 AmCache.hve 파일을 수집하여 실제 저장 경로 파싱

여러 개의 하위 키중 InventoryApplication 키의 각각의 응용프로그램 키 존재
응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인

마찬가지로 오픈소스인 RegistryExplorer 프로그램을 활용하여 AmCache 분석
응용 프로그램의 실행정보를 저장하고 있는 AmCache.hve 파일을 수집하여 실제 저장 경로 파싱

여러 개의 하위 키중 InventoryApplication 키의 각각의 응용프로그램 키 존재
응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인

마지막으로 오픈소스인 REGA_v1.5.3 프로그램을 활용하여 AmCache 분석
응용 프로그램의 실행정보를 저장하고 있는 AmCache.hve 파일을 수집하여 실제 저장 경로 파싱

여러 개의 하위 키중 InventoryApplication 키의 각각의 응용프로그램 키 존재
응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인

실제 경로를 찾아가지 않고 AmCache 분석 가능
우측 [도구 상자] – [응용프로그램 정보] – [AmCache.hve]를 통해서 AmCache 분석

응용프로그램의 실행경로, 버전, 최초 설치/실행 시간, 삭제 시간 정보 등 확인