Acknowledgement
본 연구는 과학기술정보통신부 및 정보통신기획평가원의 SW중심대학사업의 연구결과로 수행되었음(2016-0-00022)
Proceedings of the Korean Society of Computer Information Conference (한국컴퓨터정보학회:학술대회논문집)
- 2021.07a
- /
- Pages.215-218
- /
- 2021
A SimCache Structural Analysis and A Detection tool for Anti-Forensics Tool Execution Evidence on Windows 10
Windows 10에서의 심캐시(ShimCache) 구조 분석과 안티 포렌식 도구 실행 흔적 탐지 도구 제안
- Kang, Jeong Yoon (Dept. of Information Sercurity, Seoul Womens' University) ;
- Lee, Seung A (Dept. of Information Sercurity, Seoul Womens' University) ;
- Lee, Byong Gul (Dept. of Information Sercurity, Seoul Womens' University)
- Published : 2021.07.14
Abstract
심캐시(Shimcache, AppCompatCache) 파일은 Windows 운영체제에서 응용 어플리케이션 간의 운영체제 버전 호환성 이슈를 관리하는 파일이다. 호환성 문제가 발생한 응용 어플리케이션에 대한 정보가 심캐시에 기록되며 프리패치 (Prefetch) 파일이나 레지스트리의 UserAssist 키 등과 같이 응용 어플리케이션의 실행 흔적을 기록한다는 점에서 포렌식적 관점에서 중요한 아티팩트이다. 본 논문에서는 심캐시의 구조를 분석하여 심캐시 파일을 통해 얻을 수 있는 응용 어플리케이션의 정보를 소개하고, 기존 툴 상용도구의 개선을 통해 완전 삭제 등 안티 포렌식 도구의 실행 흔적을 탐지하는 방법을 제시한다.
Keywords