Shimcacheparser
소개[편집]
ShimCache는 AppCompatCache를 다르게 부르는 용어이다. AppCompatCache란 Microsoft 사에서 응용 프로그램 간 호환성을 제어하기 위해 만든 파일이다. OS에 따라 다르지만 파일 경로, 크기, 시간 정보 등의 정보를 저장한다. 이를 통해 파일의 실행 정보를 분석하는데 활용될 수 있다.
본 도구는 CLI를 지원하며, ‘http://www.woanware.co.uk/forensics/shimcacheparser.html’ 에서 오픈소스로 제공하고 있다.
사용법[편집]
본 도구는 라이브 상태의 시스템을 지원하지 않기 때문에, 도구를 실행하기 전에 이미지 파일을 마운트한 후, 명령 프롬프트를 통해 실행한다. 이 때 마운트 된 드라이브는 쓰기 가능한 상태여야 한다. [표 1]은 도구 실행에 필요한 명령 옵션에 대한 설명이다.
| 옵 션 | 설 명 |
|---|---|
| -f [infile] | [infile]을 파싱한다. [infile]에는 SYSTEM 레지스트리 파일을 입력한다. (필수 입력) |
| -o [outfile] | [outfile]로 파싱 결과를 출력한다. |
| -d | 세로 열의 구분 문자(delimiter)를 설정한다. 기본은 쉼표(,)로 설정되어 있다. |
| -s | 세로 열을 정렬(sort)한다. 유효 인자로는 modified, updated, path, filesize, executed가 있다. 기본은 updated로 정렬되어 있다. |
| 옵션 사용 예 | |
| > shimcacheparser.exe –f “H:\Windows\System32\config\SYSTEM” -o result.csv ( [도구명] [input 옵션] [파일명] [output 옵션] [파일명] ) | |
[그림 1]은 본 도구를 실행한 결과이다.
![[그림 1] simcacheparser 실행 결과](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Simcacheparser_%EC%8B%A4%ED%96%89_%EA%B2%B0%EA%B3%BC.png)
|
도구 기능[편집]
OS에 따라 다르지만, 본 도구를 통해 마지막 수정 시간, 마지막 업데이트 시간, 파일 경로, 파일 크기, 프로세스가 실행된 적이 있는지에 대한 정보를 확인할 수 있다. 문자 구분자로 쉼표를 기본적으로 제공하지만, [그림 1]을 보면 .csv로 추출했을 때 쉼표 구분이 제대로 이루어지지 않았음을 알 수 있다.
제한사항[편집]
본 도구는 .NET 4.5와 비주얼 스튜디오 2012를 필요로 한다. 따라서 Windows Vista SP2 이상에서 가능하다. 라이브 상태에서는 지원하지 않으며, 사전에 이미징 및 마운트 작업이 이루어져 있어야 한다.
수사 활용 방안[편집]
프리패치와 비슷하게 애플리케이션의 실행 정보를 알 수 있지만, 프리패치의 개수는 한정되어 있다. 오래 전의 사고를 조사한다거나 사용량이 많은 시스템에서는 본 도구를 활용하여 AppCompatCache를 조사하는 것이 도움이 될 것이다.
