ShimCache
개요
- AppCompatCache로 불리기도 한다.
-
응용 프로그램 간 호환성을 제어하고 트러블슈팅과 문제 해결을 위해 만든 파일
- 악성코드 실행 시 호환성 문제 발생하기 때문에 침해분석에 활용 - 모든 실행 파일의 경로, 크기, 마지막 수정시간, 마지막 실행 시간 등의 정보를 저장
-
프리패치와 비슷한 응용프로그램의 실행 정보 저장
- 하지만 프리패치는 한정적이라 사라질 가능성이 있음 - 특정 malware가 실행된 시스템 식별
포렌식 관점
실행 파일의 이름, 경로, 크기 정보 확인
마지막 실행 시간 확인
침해사고 분석에 활용
레지스트리 주요경로
| 번호 | 레지스트리 경로 |
|---|---|
| 1 | HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache |
| 2 | SYSTEM\ControlSet00x\Control\SessionManager\AppCompatCache |
HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache
좌측 운영체제 카테고리에서 ShimCache 아티팩트 클릭
[증거]테이블의 상단 칼럼 정보를 통해
응용프로그램 이름과 경로 확인이 가능하고 우측 [세부 정보]테이블을 통해서도 확인 가능
[세부 정보]테이블의 [증거 정보]- [소스]를 통해서 Shim Cache경로 확인이 가능하고
하이퍼링크를 클릭하면 자동으로 이동
C:\Windows\System32\Config\SYSTEM
SYSTEM\ControlSet00x\Control\Session Manager\AppCompatCache
EnCase로 ShimCache를 분석하기 위해 먼저 SYSTEM 하이브 파일의 경로 확인
C:\Windows\System32\Config\SYSTEM
SYSTEM 하이브 파일 확인
SYSTEM 하이브 파일은 윈도우 시스템과 관련된 모든 설정 정보를 담고 있습니다.
ShimCache의 경로는 SYSTEM\ControlSet00x\Control\SessionManager\AppCompatCache\AppCompatCache
경로를 찾아간 후 ShimCache(AppCompatCache) 확인
%SystemRoot%\Windows\System32\config
[Windows NT Registry]
[Open in Registry Viewer]
[Common Areas]
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache
C:\Windows\AppPatch경로에서 ShimCaChe와 관련된 파일을 찾을 수 있습니다.
오픈소스인 [REGA] 프로그램을 이용하여 실제 레지스트리 경로에서 ShimCache 분석 진행
[도구상자] – [응용프로그램 정보] – [Application Compatibility Cache]을 통하여 자동화 분석 진행 가능
