Shimcache Analizi
ShimCache
/AppCompatCache Analizi
Shimcache,
Windows uygulama uyumluluk önbelliği olarak bilinen AppCompatCache’in bir
bileşenidir. Microsoft, eskimiş uygulamaların yeni Windows sürümleri ile
herhangi bir problem oluşmaması için shim mekanizmasını kullanmaktadır yani
Shim mekanizması Windows yeni sürümlerindeki uyumluluğunu sağlamak için
uygulamanın uygulanması gerekip gerekmediğini belirlemek için kullanılır. Shim,
Windows registry dosyasında depolanan çalıştırılabilir programların metadatasını
tutar. Bu veriler sayesinde forensics
bakış açısı ile bir programın çalışıp çalışmadığının kanıtı olarak
kullanılabilir.
Shimcache,
işletim sistemine bağlı olarak yani tutulan veri miktarı işletim sistemine göre
değişir genel anlamda aşağıdakiler gibi çeşitli dosya meta verilerini depolar:
• Dosyanın Tam Yolu Dosya boyutu
• $Standard_Information (SI) Son
Değiştirilme zamanı
• Shimcache Son Güncelleme zamanı
• Process Execution İşareti
Shimcache.hve'deki
olaylar, en son olay en başta olmak üzere kronolojik sırayla listelenir ve
zaman çizelgelerinde kötü amaçlı procesesleri yeniden oluşturmak ve belirlemek
için kullanılabilir.
Shimcache
SYSTEM registry hive ında bulunur. Tam konum olarak HKLM\SYSTEM\CurrentControlSet\Control\Session
Manager\AppCompatCache konumunda bulunur
Shimcache (AppCompatCache) Nasıl Analiz edilir?
Shimcache
analiz etmeden önce SYSTEM hive dosyası elde edilmelidir. Windows, SYSTEM hive
dosyasını normal bir şekilde kopyalanmasına izin vermez. SYSTEM hive dosyasının
bir kopyasını almak için Raw Copy, KAPE, FTK gibi toollar kullanarak elde
edilebilir.
FTK ile
export almak için Add Evidence Item dedikten sonra, SYSTEM hive dosyasnın
bulunuduğu C:\Windows\system32\config klasöründen sağ tık yapıp d ilgili dosyaları
export alabiliriz.
Daha sonra
registry Explorer, regripper, AppCompatCacheParser.exe gibi araçlar ile dosyayı
parse etmemiz gerecektir. Benim favori toolum olan AppCompatCacheParser.exe ile
nasıl nasıl parse ediliğindi bu yazımda bahsedeceğim.
AppCompatCacheParser.exe
Eric Zimmerman tarafından oluşturulmuş Github üzerinden indirerek ücretsiz bir
şekilde kullanabilirsiniz.
Çalıştırmadan
önce cmd.exe’yi administrator olarak çalıştırmayı unutmayın daha sonra
AppCompatCacheParser.exe yazıp enterlıyoruz.
Görüldüğü
gibi tool hakkında ve parametreleri hakkında bilgilerini görebiliyoruz.
“AppCompatCacheParser.exe
-f "E:\Belgeler\Desktop\New folder\SYSTEM" --csv out”
Komutunu
yazarak parse etme işlemini başlatıyoruz. Parse işlemi tamamlandıktan sonra bize bir tsv dosyası
sunmaktadır.
Dosyayı
açtığımızda karşıma uygulamaları Path’i, Last modifed time gibi bilgileri
sunduğunu görebiliyoruz. Böylelikle siber olay müdahalelerinde olayın route
cose bulmamıza yardımcı olmaktadır.
