• 응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
  • 운영체제가 업데이트되면 DLL이 생성 혹은 삭제됨 → 호환성 문제 발생
  • Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결

AmCache

• 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
• %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve (하이브 파일)
• 툴
  • AmcacheParser (CLI)
  • https://ericzimmerman.github.io/#!index.md

AmCache 실습 (AmcacheParser)

1. help 확인

• CLI 이므로 해당 경로에서 cmd 실행
• AmcacheParser.exe로 help 출력 → hve 파일과 csv 경로 필수. 따라서 hve 파일을 추출해야 한다.

1. Amcache 추출

• FTKImager로 hve 파일과 LOG1, 2 총 3개의 파일을 추출했다.

1. 명령어 실행

• csv 파일로 툴이 저장된 경로에 결과 파일이 저장되도록 했다.