1. MUICache 개념 및 실습
• Windows에서 다중 언어를 지원하기 위해 존재하는 캐시
- MUI(Multilingual User Interface)
- 실행 파일 별로, 유저 언어(한국어) 이름을 별도로 저장하고 있음
• 응용프로그램을 실행하면 캐시에 기록이 남음
- 실행 파일 경로, 이름 남아있
- 실행 파일이 삭제되거나, 경로가 변경된 경우에도 기록이 지워지지 않음
MUICache 경로 (레지스트리 regedit (잘 안됨))
• HKCU\Software\Classes\Local Settings\MuiCache
• HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
MUICache View 이용하여 분석
• https://www.nirsoft.net/utils/muicache_view.html
2. AmCache & ShimCache 개념 및 실습
응용프로그램과 운영체제의 호환성을 위해 존재하는 캐시
• 운영체제가 업데이트되면 DLL이 생성 혹은 삭제 → 호환성 문제 발생
• Windows에서는 프로그램 호환성 관리자를 이용하여 이 문제를 해결
Amcache
• 모든 실행 파일의 이름, 경로, 크기, 해시값 확인
ShimCache(AppCompatCache)
• 실행 파일의 경로, 최초 실행 시간 확인
AmCache & ShimCache 경로
- %SystemDrive%\Windows\AppCompat\Programs\Amcache.hve
AmcacheParser, AppCompatCacheParser 이용하여 분석
- https://ericzimmerman.github.io/#!index.md
cmd로 들어가야 함
- HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
- HKLM\SYSTEM\CurrentControlSet \Control\SessionManager\AppCompatCache
