IconCache

IconCache.db 파일은 Windows 8 이후 버전에서 아이콘 이미지를 데이터베이스 형태로 저장하는 파일이다. 이 파일은 사용자가 열람하거나 실행한 응용 프로그램들의 아이콘 캐시를 포함하고 있으며, 한 번 저장된 아이콘 캐시는 해당 프로그램이 삭제되더라도 유지된다.

 

따라서 IconCache.db에 특정 아이콘이 존재한다면, 해당 프로그램이 한 번 이상 실행되었음을 의미한다. 이를 분석하면 삭제된 응용 프로그램의 존재 여부를 확인할 수 있으며, USB와 같은 외부 저장 매체를 통해 실행된 프로그램의 흔적도 파악할 수 있다.

 

또한, 포렌식 분석 시 악성코드 실행 여부나 포렌식 도구 사용 흔적을 찾는 데 활용할 수 있다. IconCache.db 파일을 추출한 후, 바이너리 편집기(HxD)나 전용 분석 도구를 이용해 저장된 아이콘 데이터를 확인할 수 있다.

 

이 파일은 썸네일 캐시 파일과 동일한 경로에 저장되며, 경로는 다음과 같다.

• C:\Users\[User Name]\AppData\Local\Microsoft\Windows\Explorer

저장되는 파일명은 iconcache._##.db 형태를 따른다.

 

윈도우 8 아이콘 캐시를 분석하기 위해 IconCache View 도구를 사용하고 윈도우 10 아이콘 캐시는 fortools 라이브러리를 사용하면 확인 가능하다. 아이콘 이미지는 thumbcache-viewer를 사용하면 보인다.

 

아이콘 캐시 구조

윈도우 10에서는 thumbcache_##.db 파일 구조와 같은 형식을 가지고 있으며 헤더에 "CMMM"으로 시작하는 시그니처를 단위로 각각의 아이콘을 저장하고 있다.