윈도우 8부터 Amcache.hve 파일은 윈도우 7에서 사용되던 RecentFileCache.bcf 파일을 대체하는 레지스트리 하이브 파일이다. 이 파일은 프로그램 호환성 관리자와 관련이 있으며 응용 프로그램 실행 정보를 저장한다. Amcache 파일에는 응용 프로그램 실행 경로, 최초 실행 시각, 삭제 시각, 설치된 실행 파일의 해시 정보, 연결된 USB 및 블루투스 장치 정보가 포함된다.
Amcache 파일은 C:\Windows\AppCompat\Programs\Amcache.hve 경로에 저장된다. 이 파일은 시스템 보호를 받으므로 직접 접근이 어려울 수 있다.
응용 프로그램의 실행 흔적을 분석하는 방법에는 여러 가지가 있다. 프리패치 파일을 분석하면 실행된 프로그램의 경로와 마지막 실행 시간을 확인할 수 있지만 최대 128개까지만 저장되므로 오래된 데이터는 사라지는 한계가 있다. 아이콘 캐시 파일을 분석하면 실행된 프로그램의 아이콘이 저장되어 있는 것을 확인할 수 있지만 실행 시각 정보가 포함되지 않는다.
Amcache.hve 파일을 분석하면 실행 시각과 삭제 시각뿐만 아니라 파일의 해시 정보까지 포함되어 있어 전체적인 타임라인을 구성하는 데 유용하다. 따라서 프리패치 및 아이콘 캐시 분석과 함께 활용하면 보다 정확한 분석이 가능하다. Amcache 파일은 프로그램 실행 흔적을 종합적으로 분석하는 데 중요한 역할을 한다.
Amcahce 프로그램을 이용하여 분석이 가능하다.
AmcacheParser.exe -f [Amcache 경로] --csv [출력 csv 경로]
아래와 같이 여러 csv가 추출된다.
1. Amcache_DeviceContainers.csv
| 이름 | 설명 |
| KeyName | device 구분 ID |
| KeyLastWriteTimestamp | 마지막 사용 시각 |
| Categories | 장치 종류 |
| DiscoveryMethod | 해당 device를 얻게 된 방법(Bluetooth 등) |
| FriendlyName | 추가 식별 이름 |
| Icon | Icon Path |
| Manufacturer | 장치의 제조업체 |
| ModelID | 장치의 고유 ID |
2. Amcache_DevicePnps.csv
| 이름 | 설명 |
| KeyName | device 구분 ID |
| KeyLastWriteTimestamp | 마지막으로 사용된 시각 |
| BusReportedDescription | 버스로부터 오는 장치 설명 |
| Class | 드라이버 장치 설정 클래스 |
| ClassGuid | 드라이버 장치 클래스 고유 식별자 |
| Description | 장치 설명 |
| DriverID | 설치된 드라이버 고유 식별자 |
| DriverName | 설치된 드라이버 이미지 파일 이름 |
| DriverVerDate | 장치에 설치된 드라이버 관련 날짜 |
| DriverVerVerion | 장치에 설치된 드라이버 버전 |
| HWID | 장치 하드웨어 ID |
| Manufacturer | 장치 제조업체 |
| Model | 장치 모델 |
| Provider | 장치 공급자 |
| Service | 장치 서비스 이름 |
3. Amcache_DriveBinaries.csv
| 이름 | 설명 |
| KeyName | device 구분 ID |
| KeyLastWriteTimestamp | 마지막으로 사용된 시각 |
| DriverTimeStamp | 드라이버 타임스탬프 |
| DriverLastWriteTime | 드라이버 마지막 사용 시각 |
| DriverName | 드라이버 파일 이름 |
| DriverInBox | 운영체제에 드라이버 포함 여부 |
| DriverCompany | 드라이버 개발 회사 |
| DriverID | 드라이버 고유 ID |
| DriverType | 드라이버 특성 |
4. Amcache_ShortCuts.csv
| 이름 | 설명 |
| KeyName | 파일 이름 |
| LnkName | lnk 파일 경로 |
| KeyLastWriteTimestamp | 마지막으로 사용된 시각 |
5. Amcache_DriverPackages.csv
| 이름 | 설명 |
| KeyName | 파일 이름 |
| KeyLastWriteTimestamp | 마지막으로 사용된 시각 |
| Date | 드라이버 장치 설정 날짜 |
| Class | 드라이버 장치 설정 클래스 |
| Directory | 드라이버 장치 설치 경로 |
| DriverInBox | 운영체제에 드라이버 포함 여부 |
| Hwids | 장치 하드웨어 ID |
| Provider | 장치 공급자 |
6. Amcache_UnassociatedFileEntries.csv
| 이름 | 설명 |
| ApplicationName | Unassociated로 저장 |
| ProgramID | 프로그램 고유 식별자 |
| FileKeyLastWriteTimestamp | 타임스탬프 |
| SHA1 | sha1 해시값 |
| FullPath | 파일 경로 |
| Name | 파일 이름 |
| FileExtension | 파일 확장자 |
| LinkDate | 연결된 날짜 및 시각 |
| Size | 파일 크기 |
| Version | 파일 버전 |
| LongPathHash | 파일 전체 경로 해시값 |
7. 구조
Hive 구조로 루트키 밑에 File, Generic, Orphan, Programs 4개 키를 보유한다.
Generic 키와 Orphan 키는 GUID 또는 파일 ID 관련 정보를 저장하고 있고, Programs 키는 설치된 응용프로그램명, 버전 등의 정보를 저장하고 있으며 File 키는 응용프로그램 관련 최초 실행 시각 등 많은 정보를 저장하고 있다.
'Forensics > Windows Forensics' 카테고리의 다른 글
| 이벤트 로그 분석 (0) | 2025.03.01 |
|---|---|
| ShimCache (AppCompatCache) (0) | 2025.02.27 |
| IconCache (0) | 2025.02.27 |
| Thumbnail (0) | 2025.02.27 |
| 점프 리스트 (0) | 2025.02.25 |
