Windows işletim sistemleri arasında farklı dağıtımlar bulunmaktadır, farklı dağıtımlar olmasından kaynaklı dezavantaj doğmuştur. Örnek vermek gerekirse bir program her Windows dağıtımı ile uyumlu olamamasıdır. Microsoft tarafından bu dezavantajı ortadan kaldırmak adına Amcache.hve dosyasını oluşturmuştur. Bu dosya sayesinde Windows’un farklı dağıtımları arasında program uyumluluğunu sağlayabilmektedir. Windows sistem dosyası olan Amcache.hve dosyaları genel yapısı, registry (kayıt defteri) hive dosyasıdır. Registry dosya biçimine benzer bir tree yapıdadır.
Windows sisteme yüklenen bir program (execution) hakkında, programın çalışma yolu, SHA1 hash değeri, program yükleme/silinme zaman damgaları gibi çeşitli bilgileri içerisine kaydetmektedir. Ve bir diğer mükemmel özelliği ise sistem üzerinde silinen programların kayıtları amcache.hve dosyasında silinmemesidir. Yani kısaca bir Forensics bakış açısı ile Amcache.hve dosyası bizler için mükemmel bir artifact kaynağı sunmakta ve tutmuş olduğu SHA1 hash değeri ile CTI kaynaklarından tarama yapmamızı kolaylaştırmaktadır.
Amcache.hve dosyası “%SystemDrive%WindowsAppCompatProgramsAmcache.hve” konumunda bulunur.
Amcache.hve Nasıl Analiz Edilir?
Amcache.hve dosyasını analiz etmeden önce bu dosyayı elde etmemiz gerekmektedir. Amcache.hve dosyası sistem dosyası olduğundan Windows tarafından kopyalanması, silinmesine izin vermemektedir. Bu dosyasının bir kopyasını almak için Raw Copy, KAPE, FTK gibi toollar kullanarak elde edilebilir.
FTK ile export almak için Add Evidence Item dedikten sonra, Amcache.hve dosyasın bulunduğu konuma gidip ilgili dosyaları export alabiliriz.
Amcache.hve dosyasını hedef sistemden elde ettikten sonra amcacheparser.exe, regripper gibi farklı toollar ile analiz işlemleri gerçekleştirilebilir. Benim favori toollarım arasında olan AmcacheParser.exe üzerinden analizi gerçekleştireceğim.
AmcacheParse.exe Eric Zimmerman tarafından oluşturulan ücretsiz bir toldur Githubtan kolaylıkla indirip kullanabilirsiniz.
İlk olarak cmd.exe administrator olarak çalıştırmamız gerekmektedir. Daha sonra ilgili dizini gittikten sonra AmcacheParser.exe yazıp çalıştıralım.
Ekran görüntüsünde görüldüğü tool’un parametreleri ile ilgili bilgiler tool hakkında bilgileri görebiliyoruz.
Amcache.hve dosyasını parse etmesi için;
AmcacheParser.exe -f “E:BelgelerDesktopAmcacheCWindowsAppCompatProgramsAmcache.hve” –csv “E:BelgelerDesktopAmcacheCWindowsAppCompatProgramsout.csv”
-f : Amcache.hve dosyasını bulunduğu konum
–csv : parse işlemini gerçekleştirilirken nereye parse edilmesi isteniyorsa konumu
Komutumuzu çalıştırdıktan sonra görüldüğü gibi başarılı bir şekilde parse işlemi tamamlanmıştır.
Parse işlemi başarılı bir şekilde gerçekleştikten sonra genelde altı csv dosyası oluşmaktadır. Oluşan excel dosyaları analiz edilerek zaman filtresi yardımıyla zararlı, şüpheli bir durum var olup olmadığı böylelikle tespit edilebilir.
XXXXXXX_Amcache_DeviceContainers.csv dosasında; sisteme bağlı cihazlar hakkında bilgi içerir. AmCache’te bulunan Device Containers Artifactleri bulunur. Artifackt içinde bulunan bilgiler;
- Key – The registry key name.
- Model ID – Model ID of the device.
- Model Name – The model name for the device.
- Friendly Name – A display name for the device.
- Model Number – The model number of the device.
- Is Connected – Whether the device is connected.
- Icon – The path to the icon for the device.
- Manufacturer – Device manufacturer.
- Primary Category – Primary category.
- Categories – The category of the device.
- Is Active – Whether the device is active.
- Is Paired – Whether the device is paired.
- Is Networked – Whether the device is networked.
- State – Device state.
- Is Machine Container – Whether the device is a machine container.
- Discovery Method – Discovery method.
- Last Update Date/Time – Registry key last update date/time.
XXXXXXXX_Amcache_ShortCuts.csv dosyasında Amcache’te bulunan, sistemde kullanılan programlar ve dosya kısayolları (shortcuts) hakkında bilgi içerir. Artifact içinde bulunan bilgiler;
· Key – The registry key name.
· Shortcut Path – The path to the shortcut.
· Last Update Date/Time – Registry key last update date/time.
XXXXXXXX_Amcache_DevicePnps.csv dosyasında, sisteme bağlı tak ve çalıştır cihazları hakkında bilgi içerir. Artifact içerisinde bulunan bilgiler;
· Driver ID – The ID of the driver.
· Driver Name – The name of the driver.
· Description – The description of the device.
· Driver Version – The driver version.
· Class – The class of the device.
· Class GUID – The GUID of the device class.
· Model – The device model.
· Manufacturer – The device manufacturer.
· Device State – Device state.
· Inf – Inf extension file.
· Driver Version Date – Driver version date.
· Install Date – Install date.
· First Install Date – First install date.
· Service – Service.
· Container ID – ID of the device container.
· Problem Code – Problem code.
· Provider – The device provider.
· COMPID – COMPID.
· Stack ID – Stack ID.
· Hardware ID – Hardware ID of the device.
· Parent ID – Parent ID.
· Matching ID – Matching ID.
· Enumerator – Enumerator.
· Install State – Install state.
· Driver Packages Strong Name – Driver packages strong name.
· Bus Reported Description – Bus reported description.
· Key Last Update Date/Time – Registry key last update date/time.
XXXXXXXXXX_Amcache_DriverPackages.csv dosyasında, sistemdeki driver paketleri hakkında bilgi içerir. Artifackt içerisinde bulunan bilgiler;
· Key – The registry key name.
· Class GUID – Driver package class GUID.
· Class – Name of the class.
· Directory – Driver location.
· Date – The date of the driver package.
· Version – Driver version.
· Provider – Driver provider.
· Submission ID – Submission ID.
· Driver in Box – Whether driver is in box.
· INF – Inf extension file.
· Is Active – Whether driver is active.
· Hardware IDs – List hardware IDs associated with the package.
· SYSFILE – SYSFILE.
· Key Last Update Date/Time – Registry key last update date/time.
XXXXXXXXX_Amcache_DriveBinaries.csv dosyasında, sistemdeki driver binary dosyalarında ne zaman imzalandıkları ve bunlarla ilişkili hizmetler hakkında bilgiler içerir. Artifackt içerisinde bulunanbilgiler;
· Driver ID – The ID of the driver.
· Driver Name – The name of the driver.
· Driver Path – The path where the driver is located.
· Driver Version – The driver version.
· Service – The service associated with the driver.
· Image Size – Driver file size.
· Driver Last Write Date/Time – The date and time when the driver was last written to.
· Driver Type – Driver type.
· Driver Timestamp – Driver timestamp.
· Driver Checksum – The checksum of the driver.
· Product Name – The product that the driver is associated with.
· Product Version – Product version of the driver.
· Inf – The Inf file name.
· Driver Company – The company that produces the driver.
· WDF Version – WDF Version.
· Driver Package Strong Name – Driver package strong name.
· Driver in Box – Driver in box.
· Driver Signed – Whether the driver is signed.
· Driver Is Kernel Mode – Whether the driver operates in kernel mode.
· Key Last Update Date/Time – Registry key last update date/time.
XXXXXXX_Amcache_UnassociatedFileEntries.csv, Sisteme bir zararlı bulaşması halinde genellikle bakılan dosyadır, İlişkilendirilmemiş dosya girişleri olarak bilinir, çalıştırılabilir programlar tarafından kullanılan dosyalar ve sistemde çalıştırılan programlar hakkında bilgi içerir.
Kaynak:
[1]https://www.ssi.gouv.fr/uploads/2019/01/anssi-coriin_2019-analysis_amcache.pdf