응용 프로그램 실행 분석-MUICache
MUICache 분석
다중 언어를 지원하기 위해 응용 프로그램의 이름을 캐시하는 레지스트리.
평소 사용하지 않는 프로그램의 이름도 표시된다.
- 윈도우에서 사용되는 기본 프로그램과 평소에 실행하지 않았던 프로그램 목록도 포함
각각의 국가별로 프로그램 명칭 및 경로를 관리
분석자 입장에서는 이 MUICache 목록에 일반적이지 않은 프로그램들이 추가되어 있지 않은지 확인해봐야 한다. 일반적인 프로그램 중 윈도우에서 사용되는 기본 프로그램들은 이미 목록에 있을테고 사용자가 설치하여 사용하는 프로그램도 한번이라도 실행했다면 MUICache 목록에 기록이 된다. 즉, 일부러 지우지 않는한 한번이라도 실행된 프로그램은 MUICache에 남는다.
어플리케이션(프로그램)이 실행할 때마다, 윈도우는 실행 파일 리소스에서 프로그램의 이름을 추출한다. 추후 재사용을 위해, "MUICache"로 알려진 레지스트리 키에 저장을 한다.
MUICache는 프로그램 실행을 보여주는 UserAssist 키와 비슷한 역할을 한다고 볼 수 있으며, 공격자가 실행한 악성코드, 삭제 프로그램등의 흔적을 찾을 수 있다. 포렌식에서는 MUICache목록에 일반적이지 않은 프로그램이 추가되어 있지 않은지 확인이 필요하다. MUICache 는 시간 정보가 없으므로 실행 후 삭제된 프로그램이나 히든 프로그램들의 실행 흔적 분석에 좋다.
레지스트리 경로
흔히들 부팅 후 사용되는 메모리의 양을 줄이기 위해 레지스트리에서 MUICache를 지우는 경우가 있습니다.
지우셔도 상관은 없습니다. 아래 레지스트리를 자세히 보시면 평소 실행하지 않았던 프로그램들도 목록에 포함되어 있는걸 확인하실 수 있습니다.
하이브파일 : NTUser.DATHKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
HKEY_CURRENT_USER\Software\Software\Classes\LocalSettings\MuiCache
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICacheHKEY_USERS\{SID}\Software\Microsoft\Windows\ShellNoRoam\MUICache
F:\>reg query "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache"
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
LangID REG_BINARY 1204
C:\WINDOWS\system32\explorerframe.dll.FriendlyAppName REG_SZ ExplorerFrame
C:\WINDOWS\system32\explorerframe.dll.ApplicationCompany REG_SZ Microsoft Corporation
C:\WINDOWS\system32\shell32.dll.FriendlyAppName REG_SZ Windows 셸 공용 Dll
C:\WINDOWS\system32\shell32.dll.ApplicationCompany REG_SZ Microsoft Corporation
C:\Windows\System32\fsquirt.exe.FriendlyAppName REG_SZ fsquirt.exe
C:\Windows\System32\fsquirt.exe.ApplicationCompany REG_SZ Microsoft Corporation
D:\Program Files (x86)\Evernote\Evernote\Evernote.exe.FriendlyAppName REG_SZ Evernote
.......
MUICacheView.exe
F:\>MUICacheView.exe /sxml muicache.xml /sort "Application Name"
F:\tool\forensic\RegRipper2.8>type muicache.xml
F:\tool\forensic\RegRipper2.8>F:\script\batch\LogParser.exe -stats:off -i:xml "select * from 'muicache.xml'"
application_path application_name
-------------------------------------------------------------------------- -------------------------------------------------------
F:\tool\network\chromedriver\chromedriver.exe.FriendlyAppName chromedriver.exe
F:\tool\network\chromedriver.exe.FriendlyAppName chromedriver.exe
F:\temp\hConvert2pfx.exe.FriendlyAppName Covert2Pfx
F:\Dropbox\DFIR\Window\SystemBasic\Tools\REGA.exe.ApplicationCompany DFRC
D:\Program Files (x86)\Notepad++\notepad++.exe.ApplicationCompany Don HO don.h@free.fr
C:\Program Files (x86)\markany\maepsrt\ePageSaferRT.exe.FriendlyAppName ePageSafer NoAX (REPORT)
D:\Program Files (x86)\Evernote\Evernote\Evernote.exe.FriendlyAppName Evernote
......
regripper
C:\Tools\Forensic\RegRipper2.8>regex.exe -h f:\test\reg-hive-backup
F:\tool\forensic\RegRipper2.8>rip.exe -r "f:\test\reg-hive-backup\chohb.NTUSER.DAT" -p muicache
F:\tool\forensic\RegRipper2.8>rip.exe -r "f:\test\reg-hive-backup\chohb.NTUSER.DAT" -p muicache_tln
F:\tool\forensic\RegRipper2.8>rip.exe -r "f:\test\reg-hive-backup\chohb.USRCLASS.DAT" -p muicache
F:\tool\forensic\RegRipper2.8>rip.exe -r "f:\test\reg-hive-backup\chohb.USRCLASS.DAT" -p muicache_tln
'DFIR > 사용자 행위 분석' 카테고리의 다른 글
| 응용 프로그램 실행 분석-슈퍼패치분석 (0) | 2020.03.04 |
|---|---|
| 응용 프로그램 실행 분석-프리패치분석 (0) | 2020.03.04 |
| 응용 프로그램 실행 분석-UserAssist (0) | 2020.03.04 |
| USB 사용 이력 분석 (4) | 2020.03.03 |
| Log On-Off 내역 분석 (0) | 2020.03.03 |
