MUICache
개요
-
다중 언어를 지원하기 위해 프로그램 이름을 캐쉬화하는 기능
- 윈도우에서 사용되는 기본 프로그램과 평소에 실행하지 않았던 프로그램 목록도 포함 - Windows가 설치될 때 Regedit, notepad, control 등의 프로그램들은 각각 레지스트리 편집기, 메모장, 제어판으로 수정
- 프로그램이 한 번이라도 실행됐다면 목록에 저장되고 사용자가 일부러 지우지 않는 이상 그대로 존재
- 각각의 국가별로 프로그램 명칭 및 경로를 관리
포렌식 관점
응용프로그램 이름, 목록 확인
응용프로그램의 전체 경로 확인
마지막 실행 시간 확인
레지스트리 주요경로
| 번호 | 레지스트리 경로 |
|---|---|
| 1 | HKCU\Software\Classes\Local Settings\MuiCache |
| 2 | HKCU\SOFTWARE\Classes\LocalSetting\Software\Microsoft\Windows\Shell\MuiCache |
| 3 | UsrClass.dat\Local Settings\MUICache |
| 4 | UsrClass.dat\Local Settings\Software\Microsoft\Windows\Shell\MUICache |
MUI Cache 경로 확인
HKEY_CURRENT_USER\Software\Classes\LocalSettings\Software\Microsoft\Windows\Shell\MuiCache
MUI Cache는 DLL, EXE 파일 형식이고 데이터 부분을 통해서 응용프로그램 이름 확인가능
좌측 운영체제 카테고리에서 MUICache 아티팩트 클릭
[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름, 경로, 파일에 대한 데이터 정보를 확인 할 수 있고 우측 [세부 정보]테이블을 통해서도 확인 가능
[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 Prefetch 경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동
C:\Users\사용자\AppData\Local\Microsoft\Windows\UsrClass.dat
UsrClass.dat\Local Settings\MuiCache
EnCase로 MUI Cache를 분석하기 위해서 먼저 UsrClass.dat 하이브 파일 경로 확인
C:\Windows\Users\사용자\AppData\Local\Microsoft\Windows\UsrClass.dat
경로를 찾아간 후 UsrClass.dat 하이브 파일 확인
MUI Cache 경로는 USRCLASS.DAT\Local Settings\MuiCache
경로를 찾아간 후 MUI Cache 확인
MUI Cache를 확인할 수 있는 또 다른 경로는 DEFAULT\Software\Classes\Localsetting\MuiCache이고
먼저 DEFAULT 하이브 파일 경로 확인 C:\Windows\System32\Config\DEFAULT
%UserProfile%\AppData\Local\Microsoft\Windows\UsrClass.dat
[Windows NT Registry]
[Open in Registry Viewer]
[Common Areas]
C:\User\Username\AppData\Local\Microsoft\Windows
UsrClass.dat 파일 우클릭 -> View
Local Settings -> MUICache
캐쉬 파일 정보
새 응용 프로그램을 사용할 때마다 .exe 파일의 버전 리소스에서 응용 프로그램 이름을 자동으로 추출하여 나중에 사용할 수 있도록 'MuiCache'라는 레지스트리 키에 저장
오픈소스인 MUICacheView v1.01 프로그램은 시스템의 모든 MuiCache 항목 목록을 표시하고 편집 가능
- 응용 프로그램의 이름을 편집하거나 원하지 않는 MUICache 항목 삭제 가능
- 삭제하더라도 다음에 응용 프로그램을 실행할 때 다시 표시
