eCDFP (Module-6) (Window Forensics) (Part - 9)

Application Compatibility ဆိုတာက Old Application တွေ ဒါမှမဟုတ် အချို့သော Application တွေကို New Version Window ပေါ်မှာ Run လို့ရအောင်ပြုလုပ်ပေးပါတယ်။ AppCompactCache (ShimCache) က Window Explorer မှာပေါ်တဲ့ Window Explorer ကနေကြည့်ရင်မြင်နိုင်တဲ့ Application/Script Files မှန်သမျှကို Compatibility Issues အနေနဲ့ Run နိုင်အောင်လုပ်ပေးဖို့ ShimCache ထဲမှာမှတ်သားထားပါတယ်။

Shim Cache Location 

ဆိုလိုတာကတော့ App1  To App 10 အထိ Application 10 ခုရှိတယ်ဆိုပါစို့ အဲဒီ Application 10 ခုကလဲ Window Explorer ကနေလဲမြင်နိုင်တဲ့ Application တွေဖြစ်တယ်။ အဲလိုအနေအထားမှာ Application 10 ခုထဲက Application တစ်ခုခုက Old Version ဖြစ်ချင်ဖြစ်နေမယ် လက်ရှိ Window Version 10 အနေနဲ့  Run မရရင် လက်ရှိ Window မှာ Run လို့ရအောင် Compatibility Issues အနေနဲ့ Window 7 or Window 8 အနေနဲ့ Run ချင် Run ရနိုင်ပါတယ်။ အဲလို Run လို့ရအောင် လုပ်နိုင်ဖို့အတွက် Shimcache ကနေ ခုနက Application 10 ခုလုံးကို မှတ်သားထားပါတယ်။

Example (1)  အနေနဲ့ Exe File 12 ခုကို Folder ထဲထည်ပြီး Window Explorer နဲ့ဖွင့်ကြည့်လိုက်ပါတယ်။ Exe 12 ခုပါတဲ့ Folder ကိုဖွင့်လိုက်တာနဲ့ Compatibility အတွက် Operation System ကနေ (Shim) ပြုလုပ်လိုက်ပါတယ်။ SYSTEM Registry ကိုယူပြီး EZ Tools ထဲက AppCompatCacheParser နဲ့ Analysis လုပ်ကြည့်လိုက်ပါတယ်။ အဲဒီအခါမှာ Cache Entry Position မှာ အစောဆုံး (0-11) အနေနဲ့ခုနက Window Explorer နဲ့ဖွင့်ကြည့်လိုက်တဲ့ Application Exe 12 ခုကို Compatibility (Shim Database) ထဲမှာမှတ်သားထားတာကိုတွေ့ရမှာဖြစ်ပါတယ်။ အစောဆုံး Number တွေက Most Recently (Shim) ပြုလုပ်ထားတဲ့ Application တွေဖြစ်ပါတယ်။

Example (1) 

Exe File (1-13) 

Export SYSTEM REGISTRY With FTK Imager 

Analysis SYSTEM REGISTRY With AppCompatCacheParser

Result CSV File Open With Timeline Explorer 

Example (2) 

နောက်တစ်ခါ Example (2) အနေနဲ့ Exe File 8 ခုကို Folder ထဲထည်ပြီး Window Explorer နဲ့ဖွင့်ကြည့်လိုက်ပါတယ်။ Exe 8 ခုပါတဲ့ Folder ကိုဖွင့်လိုက်တာနဲ့ Compatibility အတွက် Operation System ကနေ နောက်တစ်ခါ (Shim) ပြုလုပ်လိုက်ပါတယ်။ နောက်တစ်ကြိမ် SYSTEM Registry ကိုယူပြီး Analysis လုပ်ကြည့်လိုက်ပါတယ်။ အဲဒီအခါမှာ Cache Entry Position မှာ အစောဆုံး (0-7) အနေနဲ့ခုနက Window Explorer နဲ့ဖွင့်ကြည့်လိုက်တဲ့ Application Exe 8 ခုကို Compatibility (Shim Database) ထဲမှာနောက်တစ်ကြိမ်မှတ်သားထားတာကိုတွေ့ရမှာဖြစ်ပါတယ်။ အရင်တစ်ခါမှတ်ခဲ့တဲ့ Exe File 12 ခုနဲ့ ကျန်တဲ့  Application တွေကို အခု Exe File 8 ခုရဲ့အောက်မှမြင်ရမှာဖြစ်ပါတယ်။ အစောဆုံး Number တွေက Most Recently (Shim) ပြုလုပ်ထားတဲ့ Application တွေဖြစ်ပါတယ်။

Exe File (13-20) 

Export SYSTEM REGISTRY With FTK Imager 

Analysis SYSTEM REGISTRY With AppCompatCacheParser

Result CSV File Open With Timeline Explorer 

Window 7 , Window Server 2008 ကနေစပြီး Shimcache entry ကို  1024 အထိမှတ်သားထားပါတယ်။ 1024 File ကနောက်ဆုံး Shim ပြုလုပ်ထားတဲ့ Latest File တွေဖြစ်ပြီး 1024 Files ပြည့်သွားရင် Rewrite ပြုလုပ်ပါတယ်။  Window 7/8/8.1, Window Server 2008, Window Server 2012 R2 အထိ Application Run ခဲ့တာကိုသိနိုင်ပေမဲ့  Window Server 2016/ Window 10 နှင့်နောက်ပိုင်းမှာ Application Run တာကို Run ခဲ့တယ်လို့ ၁၀၀ ရာနှုန်းမပြောနိုင်ပါဘူး။ Application/Scripts ကို Window Operation System  က Shim အတွက် Run ခဲ့တယ်လို့ အကြမ်းဖျင်းယူဆနိုင်ပါတယ်။  Last Modified Time က File ရဲ့ Modified Time ဖြစ်ပြီး နောက်ဆုံး Application ကို Run ခဲ့တဲ့အချိန် မဟုတ်ပါ။ System Power On နေတဲ့အချိန်မှာ  Shim လုပ်သမျှကို Memory ပေါ်မှာမှတ်ထားပြီး System Reboot/Shutdown လုပ်တဲ့အချိန်မှာ SYSTEM Registry ထဲကိုမှတ်သားထားလိုက်ပါတယ်။ System Power On နေချိန်မှာ Shim ကို ရယူချင်တယ်ဆိုရင် Ram Image ရယူပြီး Volatility Shim Plugin နဲ့ Analysis လုပ်နိုင်ပါတယ်။ Window 10 နဲ့နောက်ပိုင်းမှာ Shimcache ကို Application\ Scripts က System ထဲမှာ ရှိနေတာ အရင်ကရှိခဲ့တယ်ဆိုတာကိုပဲ ပြသနိုင်ပါတယ်။ 

Example (3) 

Result CSV File Open With Timeline Explorer 

C:\Users\DFM\Desktop ပေါ်မှာ

No-1-App.exe (File Cache Entry No 3 )

No-2-App.exe (File Cache Entry No 0 )

SiGN.MEDIA = (USB Storage) ထဲမှာလဲ

No-1-App.exe (File Cache Entry No 2)

No-2-App.exe (File Cache Entry No 1) File တွေရှိခဲ့တဲ့/ရှိနေတဲ့ Log ကိုတွေ့ရမှာဖြစ်ပါတယ်။

C:\Users\DFM\Desktop ပေါ်မှာရှိတဲ့ No-2-App.exe က (File Cache Entry No 0 )  ဖြစ်နေတဲ့အတွက် Most Recently Shim ဖြစ်နေတာကိုတွေ့ရမှာဖြစ်ပါတယ်။ Desktop ပေါ်မှာရှိတဲ့ No-1-App.exe (File Cache Entry No 3 ) ကို USB Storage ထဲ Copy လုပ်၊ USB Storage ထဲမှာပဲ File Rename ပေးပါတယ်။ နောက်ပြီး Rename ချိန်းထားတဲ့USB Storage ထဲက No-2-App.exe ကို Desktop ပေါ် Copy ပြန်တင်လိုက်တာဖြစ်ပါတယ်။ ။ 

AppCompactCache (ShimCache)  ကနေရနိုင်တဲ့ Artifacts တွေကတော့

• Execution File Name, File Path, File’s Modified Time Stamp (Not Last Execution Time)
• Window 7/8/8.1, Window Server 2008, and Window Server 2012 R2 Could Uses To Determine IF A Program Had Executed.
• Window Server 2016/Windows 10 And Later Can Not Use Shimcache To Prove Execution.
• Only Shimcache Can Prove That A File Exits Or Previous System.
• Rename or move application/scripts will cause it to be re-shaded.
• Last 1024 entries are recorded.
• Stored In SYSTEM Registry Hive And Only Written On -
• C:\Windows\System32\Config\SYSTEM When System Reboot Or Shutdown.

Amache Analysis 

    Windows 7 နဲ့ Server 2008 R2  မှာစပြီး Amache Registry Hive File  က Window Operation System မှာ Installed ပြုလုပ်ထားတဲ့ Driver/Application တွေ Execution လုပ်တာတွေကို Application Compatibility အတွက်မှတ်သားထားပါတယ်။  Amache ရှိတဲ့နေရာကတော့-

C:\Windows\appcompat\Programs\Amcache.hve

Amache ကို Application/ Driver/ Storage Device တွေ လက်ရှိ ဒါမှမဟုတ် ယခင်ကရှိခဲ့လားဆိုတာကို သိနိုင်ဖို့အဓိက အသုံးပြုပါတယ်။ SHA1 Hash ကိုတော့ Virus Total, hybrid-analysis တို့မှာ Malware Analysis အတွက်အသုံးပြုနိုင်ပါတယ်။ Analysis လုပ်ဖို့အတွက် EZ Tools ထဲက Amache ကိုအသုံးပြုထားပါတယ်။ 

Amache နေရနိုင်တဲ့ Forensics Artifacts တွေကတော့

Storage Devices, Portable Executed Programs, Driver Binaries, Pnp devices, Driver Packages, Device containers, Application shortcuts

Program/ Driver Installation, Program/ Driver Execution Paths, Program/ Driver Execution, SHA-1 Hash – For Application File Signature, etc ..... 

Export Amache.hve With FTK Imager 

Clean HVE File With rla (EZ Tools) 

Analysis With AmacheParser

Amache CSV Out

Amcache_AssociatedFileEntries.csv

Amcache_ProgramEntries.csv

Amcache_DevicePnps.csv

Amcache_DeviceContainers.csv

Amcache_ShortCuts.csv