Windows실행 흔적최상
Shimcache (AppCompatCache)
애플리케이션 호환성 캐시로 최대 1024개의 실행 기록을 전체 경로와 마지막 수정 시각과 함께 저장합니다. 파일 삭제 후에도 흔적이 남습니다.
artifact_type: shimcache
저장 위치
기본 파일시스템 경로 및 레지스트리 위치입니다. 라이브 대응 도구나 디스크 이미지 분석 도구로 수집합니다.
- $HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache
포렌식 의의
이 아티팩트가 결정적 증거로 작용하는 주요 시나리오입니다.
- Detecting binaries executed and deleted by malware
- Locating renamed copies of known-bad tools (e.g., mimikatz.exe → svchost.exe)
- Establishing long-term execution history that outlives Prefetch
MITRE ATT&CK 매핑
이 아티팩트가 탐지·입증에 기여하는 기법들. 공식 MITRE 페이지로 이동합니다.
파싱 도구
unJaena AI 및 기타 DFIR 도구가 이 아티팩트에서 증거를 추출하는 데 사용됩니다.
unJaena AI
AppCompatCacheParser (Eric Zimmerman)
RegRipper
Volatility
관련 아티팩트
Windows
Amcache.hve
Windows 8부터 도입된 호환성 데이터베이스로, 실행된 모든 PE 파일의 SHA-1 해시, 전체 경로, 서명자, 최초 실행 시점을 기록합니다.
Windows
Prefetch 파일
Windows Prefetch는 실행 파일의 마지막 실행 시각 8회, 로드된 DLL 목록, 볼륨 정보까지 기록합니다. Windows 포렌식 타임라인의 핵심 자료입니다.
Windows
BAM / DAM (백그라운드 활동)
백그라운드/데스크톱 활동 조절기(BAM/DAM)는 각 사용자 SID별로 실행된 바이너리의 마지막 실행 시각을 기록합니다.
Windows
Shell Bags (셸백)
Windows 탐색기가 폴더 방문 시 뷰 설정을 UsrClass.dat에 저장합니다. 폴더가 삭제되었거나 연결 해제된 외장 드라이브의 경로라도 접근 흔적이 남습니다.
참고 자료
수작업으로 아티팩트를 뜯어보는 시대는 끝났습니다
unJaena AI는 디스크 이미지, 라이브 대응 산출물, 모바일 백업을 수집 후 이 페이지의 아티팩트와 200종 이상을 자동 상관 분석하여 수사관 수준의 타임라인을 생성합니다.
unJaena AI 체험 →