eCDFP (Module-6) (Window Forensics) (Part - 9)
Application
Compatibility ဆိုတာက Old Application တွေ ဒါမှမဟုတ် အချို့သော Application တွေကို
New Version Window ပေါ်မှာ Run လို့ရအောင်ပြုလုပ်ပေးပါတယ်။ AppCompactCache
(ShimCache) က Window Explorer မှာပေါ်တဲ့ Window Explorer ကနေကြည့်ရင်မြင်နိုင်တဲ့
Application/Script Files မှန်သမျှကို Compatibility Issues အနေနဲ့ Run နိုင်အောင်လုပ်ပေးဖို့
ShimCache ထဲမှာမှတ်သားထားပါတယ်။
ဆိုလိုတာကတော့
App1 To App 10 အထိ Application 10 ခုရှိတယ်ဆိုပါစို့
အဲဒီ Application 10 ခုကလဲ Window Explorer ကနေလဲမြင်နိုင်တဲ့ Application တွေဖြစ်တယ်။
အဲလိုအနေအထားမှာ Application 10 ခုထဲက Application တစ်ခုခုက Old Version ဖြစ်ချင်ဖြစ်နေမယ်
လက်ရှိ Window Version 10 အနေနဲ့ Run မရရင်
လက်ရှိ Window မှာ Run လို့ရအောင် Compatibility Issues အနေနဲ့ Window 7 or Window
8 အနေနဲ့ Run ချင် Run ရနိုင်ပါတယ်။ အဲလို Run လို့ရအောင် လုပ်နိုင်ဖို့အတွက်
Shimcache ကနေ ခုနက Application 10 ခုလုံးကို မှတ်သားထားပါတယ်။
Example (1) အနေနဲ့ Exe File 12 ခုကို Folder ထဲထည်ပြီး Window Explorer နဲ့ဖွင့်ကြည့်လိုက်ပါတယ်။ Exe 12 ခုပါတဲ့ Folder ကိုဖွင့်လိုက်တာနဲ့ Compatibility အတွက် Operation System ကနေ (Shim) ပြုလုပ်လိုက်ပါတယ်။ SYSTEM Registry ကိုယူပြီး EZ Tools ထဲက AppCompatCacheParser နဲ့ Analysis လုပ်ကြည့်လိုက်ပါတယ်။ အဲဒီအခါမှာ Cache Entry Position မှာ အစောဆုံး (0-11) အနေနဲ့ခုနက Window Explorer နဲ့ဖွင့်ကြည့်လိုက်တဲ့ Application Exe 12 ခုကို Compatibility (Shim Database) ထဲမှာမှတ်သားထားတာကိုတွေ့ရမှာဖြစ်ပါတယ်။ အစောဆုံး Number တွေက Most Recently (Shim) ပြုလုပ်ထားတဲ့ Application တွေဖြစ်ပါတယ်။
Example (1)
နောက်တစ်ခါ Example (2) အနေနဲ့ Exe File 8 ခုကို Folder ထဲထည်ပြီး Window Explorer နဲ့ဖွင့်ကြည့်လိုက်ပါတယ်။ Exe 8 ခုပါတဲ့ Folder ကိုဖွင့်လိုက်တာနဲ့ Compatibility အတွက် Operation System ကနေ နောက်တစ်ခါ (Shim) ပြုလုပ်လိုက်ပါတယ်။ နောက်တစ်ကြိမ် SYSTEM Registry ကိုယူပြီး Analysis လုပ်ကြည့်လိုက်ပါတယ်။ အဲဒီအခါမှာ Cache Entry Position မှာ အစောဆုံး (0-7) အနေနဲ့ခုနက Window Explorer နဲ့ဖွင့်ကြည့်လိုက်တဲ့ Application Exe 8 ခုကို Compatibility (Shim Database) ထဲမှာနောက်တစ်ကြိမ်မှတ်သားထားတာကိုတွေ့ရမှာဖြစ်ပါတယ်။ အရင်တစ်ခါမှတ်ခဲ့တဲ့ Exe File 12 ခုနဲ့ ကျန်တဲ့ Application တွေကို အခု Exe File 8 ခုရဲ့အောက်မှမြင်ရမှာဖြစ်ပါတယ်။ အစောဆုံး Number တွေက Most Recently (Shim) ပြုလုပ်ထားတဲ့ Application တွေဖြစ်ပါတယ်။
Window 7 , Window Server 2008 ကနေစပြီး Shimcache entry ကို 1024 အထိမှတ်သားထားပါတယ်။ 1024 File ကနောက်ဆုံး Shim ပြုလုပ်ထားတဲ့ Latest File တွေဖြစ်ပြီး 1024 Files ပြည့်သွားရင် Rewrite ပြုလုပ်ပါတယ်။ Window 7/8/8.1, Window Server 2008, Window Server 2012 R2 အထိ Application Run ခဲ့တာကိုသိနိုင်ပေမဲ့ Window Server 2016/ Window 10 နှင့်နောက်ပိုင်းမှာ Application Run တာကို Run ခဲ့တယ်လို့ ၁၀၀ ရာနှုန်းမပြောနိုင်ပါဘူး။ Application/Scripts ကို Window Operation System က Shim အတွက် Run ခဲ့တယ်လို့ အကြမ်းဖျင်းယူဆနိုင်ပါတယ်။ Last Modified Time က File ရဲ့ Modified Time ဖြစ်ပြီး နောက်ဆုံး Application ကို Run ခဲ့တဲ့အချိန် မဟုတ်ပါ။ System Power On နေတဲ့အချိန်မှာ Shim လုပ်သမျှကို Memory ပေါ်မှာမှတ်ထားပြီး System Reboot/Shutdown လုပ်တဲ့အချိန်မှာ SYSTEM Registry ထဲကိုမှတ်သားထားလိုက်ပါတယ်။ System Power On နေချိန်မှာ Shim ကို ရယူချင်တယ်ဆိုရင် Ram Image ရယူပြီး Volatility Shim Plugin နဲ့ Analysis လုပ်နိုင်ပါတယ်။ Window 10 နဲ့နောက်ပိုင်းမှာ Shimcache ကို Application\ Scripts က System ထဲမှာ ရှိနေတာ အရင်ကရှိခဲ့တယ်ဆိုတာကိုပဲ ပြသနိုင်ပါတယ်။
Example (3)
C:\Users\DFM\Desktop
ပေါ်မှာ
No-1-App.exe
(File Cache Entry No 3 )
No-2-App.exe
(File Cache Entry No 0 )
SiGN.MEDIA
= (USB Storage) ထဲမှာလဲ
No-1-App.exe
(File Cache Entry No 2)
No-2-App.exe
(File Cache Entry No 1) File တွေရှိခဲ့တဲ့/ရှိနေတဲ့ Log ကိုတွေ့ရမှာဖြစ်ပါတယ်။
C:\Users\DFM\Desktop
ပေါ်မှာရှိတဲ့ No-2-App.exe က (File Cache Entry No 0 ) ဖြစ်နေတဲ့အတွက် Most Recently Shim ဖြစ်နေတာကိုတွေ့ရမှာဖြစ်ပါတယ်။
Desktop ပေါ်မှာရှိတဲ့ No-1-App.exe (File Cache Entry No 3 ) ကို USB Storage ထဲ
Copy လုပ်၊ USB Storage ထဲမှာပဲ File Rename ပေးပါတယ်။ နောက်ပြီး Rename ချိန်းထားတဲ့USB
Storage ထဲက No-2-App.exe ကို Desktop ပေါ် Copy ပြန်တင်လိုက်တာဖြစ်ပါတယ်။ ။
AppCompactCache
(ShimCache) ကနေရနိုင်တဲ့ Artifacts တွေကတော့
- Execution File Name, File Path, File’s Modified Time Stamp (Not Last Execution Time)
- Window 7/8/8.1, Window Server 2008, and Window Server 2012 R2 Could Uses To Determine IF A Program Had Executed.
- Window Server 2016/Windows 10 And Later Can Not Use Shimcache To Prove Execution.
- Only Shimcache Can Prove That A File Exits Or Previous System.
- Rename or move application/scripts will cause it to be re-shaded.
- Last 1024 entries are recorded.
- Stored In SYSTEM Registry Hive And Only Written On -
- C:\Windows\System32\Config\SYSTEM When System Reboot Or Shutdown.
Amache Analysis
Windows 7 နဲ့
Server 2008 R2 မှာစပြီး Amache
Registry Hive File က Window Operation
System မှာ Installed ပြုလုပ်ထားတဲ့ Driver/Application တွေ Execution လုပ်တာတွေကို
Application Compatibility အတွက်မှတ်သားထားပါတယ်။ Amache ရှိတဲ့နေရာကတော့-
C:\Windows\appcompat\Programs\Amcache.hve
Amache ကို Application/ Driver/ Storage Device တွေ လက်ရှိ ဒါမှမဟုတ် ယခင်ကရှိခဲ့လားဆိုတာကို သိနိုင်ဖို့အဓိက အသုံးပြုပါတယ်။ SHA1 Hash ကိုတော့ Virus Total, hybrid-analysis တို့မှာ Malware Analysis အတွက်အသုံးပြုနိုင်ပါတယ်။ Analysis လုပ်ဖို့အတွက် EZ Tools ထဲက Amache ကိုအသုံးပြုထားပါတယ်။
Amache နေရနိုင်တဲ့
Forensics Artifacts တွေကတော့
Storage Devices, Portable Executed
Programs, Driver Binaries, Pnp devices, Driver Packages, Device containers, Application
shortcuts
Program/ Driver Installation, Program/ Driver Execution Paths, Program/ Driver Execution, SHA-1 Hash – For Application File Signature, etc .....
Amcache_ProgramEntries.csv
Comments