reg-shim-cache
SYSTEM 레지스트리 하이브 파일에서 프로그램 호환성 캐시(Application Compatibility Cache, AppCompatCache) 데이터를 조회합니다. Shim Cache는 Windows가 실행 파일의 호환성 정보를 저장하는 아티팩트로, 프로그램의 실행 이력과 파일 수정 시각을 포함합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 클러스터 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
옵션
zipcharset=STR- ZIP 파일 엔트리의 문자 인코딩. IANA 문자 집합 레지스트리에 등록된 Preferred MIME Name이나 Aliases를 사용합니다. (기본값:
utf-8) zippath=STR- ZIP 파일 경로. 이 옵션을 지정하면 ZIP 파일 내부의 레지스트리 하이브 파일을 대상으로 조회합니다.
대상
FILE_PATH- SYSTEM 레지스트리 하이브 파일 경로. 와일드카드(
*)를 사용하면 패턴과 일치하는 모든 파일을 한 번에 조회할 수 있습니다.
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
| _file | 문자열 | 레지스트리 하이브 파일 이름 |
| file_path | 문자열 | 실행 파일 경로 |
| modified_at | 날짜 | 실행 파일의 마지막 수정 일시 |
오류 코드
파싱 오류
해당 사항 없음
런타임 오류
해당 사항 없음
설명
reg-shim-cache 명령어는 SYSTEM 레지스트리 하이브 파일에서 ControlSet001\Control\Session Manager\AppCompatCache 키의 AppCompatCache 값을 읽어 Shim Cache 항목을 파싱합니다. Windows 10 형식의 Shim Cache 바이너리 구조를 지원합니다.
Shim Cache는 Windows 애플리케이션 호환성 데이터베이스의 캐시로, 실행된 프로그램의 파일 경로와 수정 시각이 기록됩니다. 프로그램이 삭제된 후에도 캐시에 이력이 남아 있을 수 있어, 디지털 포렌식에서 악성 프로그램의 실행 여부를 확인하는 데 활용됩니다.
이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.
사용 예
각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.
-
SYSTEM 하이브 파일에서 Shim Cache 조회
reg-shim-cache D:\evidence\SYSTEM지정한 SYSTEM 레지스트리 하이브 파일에서 Shim Cache 이력을 조회합니다.
-
ZIP 파일 내의 SYSTEM 하이브 파일 조회
reg-shim-cache zippath=D:\evidence\registry.zip SYSTEMZIP 파일 내부의 SYSTEM 레지스트리 하이브 파일에서 Shim Cache 이력을 조회합니다.
-
수정 일시 기준으로 정렬
reg-shim-cache D:\evidence\SYSTEM | sort -modified_atShim Cache 이력을 파일 수정 일시 기준으로 내림차순 정렬하여 최근에 수정된 실행 파일부터 조회합니다.
-
특정 경로의 실행 파일 필터링
reg-shim-cache D:\evidence\SYSTEM | search file_path == "*\\Temp\\*"Temp 디렉터리에서 실행된 프로그램만 필터링합니다. 임시 디렉터리에서 실행된 파일은 악성 프로그램일 가능성이 높습니다.
호환성
reg-shim-cache 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.