앰캐시(Amcache.hve) 파일을 활용한 응용 프로그램 삭제시간 추정방법

Vol. 25, No. 3, pp. 573-584, 6월. 2015
10.13089/JKIISC.2015.25.3.573, Full Text:
Keywords: Digital Forensics, Amcache.hve, User Behavior
Abstract

앰캐시(Amcache.hve) 파일은 프로그램 호환성 관리자(Program Compatibility Assistant)와 관련된 레지스트리 하이브 파일로 응용 프로그램의 실행정보를 저장한다. 이 파일을 통해서 응용 프로그램의 실행경로, 최초 실행시간을 확인할 수 있을 뿐 아니라, 삭제시간까지 추정할 수 있다. 응용 프로그램의 최초 설치시간 및 삭제시간까지 확인할 수 있기 때문에 프리패치(Prefetch) 파일, 아이콘캐시(Iconcache.db) 파일 분석과 병행하면 응용 프로그램의 전체적인 타임라인을 구성할 수 있다. 또한, 앰캐시 파일은 안티포렌식 프로그램, 포터블 프로그램 및 외장저장장치 흔적을 기록하고 있어 디지털 포렌식 관점에서 중요한 아티팩트이다. 본 논문에서는 앰캐시 파일의 특성과 응용 프로그램 삭제시간 추정 등 디지털 포렌식 기술로서의 활용방안을 제시한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
M. Kim and S. Lee, "Method of estimating the deleted time of applications using Amcache.hve," Journal of The Korea Institute of Information Security and Cryptology, vol. 25, no. 3, pp. 573-584, 2015. DOI: 10.13089/JKIISC.2015.25.3.573.

[ACM Style]
Moon-Ho Kim and Sang-jin Lee. 2015. Method of estimating the deleted time of applications using Amcache.hve. Journal of The Korea Institute of Information Security and Cryptology, 25, 3, (2015), 573-584. DOI: 10.13089/JKIISC.2015.25.3.573.