Shimcache Analizi

 

ShimCache /AppCompatCache  Analizi

Shimcache, Windows uygulama uyumluluk önbelliği olarak bilinen AppCompatCache’in bir bileşenidir. Microsoft, eskimiş uygulamaların yeni Windows sürümleri ile herhangi bir problem oluşmaması için shim mekanizmasını kullanmaktadır yani Shim mekanizması Windows yeni sürümlerindeki uyumluluğunu sağlamak için uygulamanın uygulanması gerekip gerekmediğini belirlemek için kullanılır. Shim, Windows registry dosyasında depolanan çalıştırılabilir programların metadatasını tutar. Bu veriler sayesinde forensics bakış açısı ile bir programın çalışıp çalışmadığının kanıtı olarak kullanılabilir.

Shimcache, işletim sistemine bağlı olarak yani tutulan veri miktarı işletim sistemine göre değişir genel anlamda aşağıdakiler gibi çeşitli dosya meta verilerini depolar:

         Dosyanın Tam Yolu Dosya boyutu

         $Standard_Information (SI) Son Değiştirilme zamanı

         Shimcache Son Güncelleme zamanı

         Process Execution İşareti

Shimcache.hve’deki olaylar, en son olay en başta olmak üzere kronolojik sırayla listelenir ve zaman çizelgelerinde kötü amaçlı procesesleri yeniden oluşturmak ve belirlemek için kullanılabilir.

Shimcache SYSTEM registry hive ında bulunur. Tam konum olarak HKLMSYSTEMCurrentControlSetControlSession ManagerAppCompatCache konumunda bulunur

 

Shimcache (AppCompatCache) Nasıl Analiz edilir?

Shimcache analiz etmeden önce SYSTEM hive dosyası elde edilmelidir. Windows, SYSTEM hive dosyasını normal bir şekilde kopyalanmasına izin vermez. SYSTEM hive dosyasının bir kopyasını almak için Raw Copy, KAPE, FTK gibi toollar kullanarak elde edilebilir.

FTK ile export almak için Add Evidence Item dedikten sonra, SYSTEM hive dosyasnın bulunuduğu C:Windowssystem32config klasöründen sağ tık yapıp d ilgili dosyaları export alabiliriz.

 

Daha sonra registry Explorer, regripper, AppCompatCacheParser.exe gibi araçlar ile dosyayı parse etmemiz gerecektir. Benim favori toolum olan AppCompatCacheParser.exe ile nasıl nasıl parse ediliğindi bu yazımda bahsedeceğim.

AppCompatCacheParser.exe Eric Zimmerman tarafından oluşturulmuş Github üzerinden indirerek ücretsiz bir şekilde kullanabilirsiniz.

Çalıştırmadan önce cmd.exe’yi administrator olarak çalıştırmayı unutmayın daha sonra AppCompatCacheParser.exe yazıp enterlıyoruz.

Görüldüğü gibi tool hakkında ve parametreleri hakkında bilgilerini görebiliyoruz.

“AppCompatCacheParser.exe -f “E:BelgelerDesktopNew folderSYSTEM” –csv out”

Komutunu yazarak parse etme işlemini başlatıyoruz. Parse işlemi tamamlandıktan sonra  bize bir tsv dosyası sunmaktadır.

Dosyayı açtığımızda karşıma uygulamaları Path’i, Last modifed time gibi bilgileri sunduğunu görebiliyoruz. Böylelikle siber olay müdahalelerinde olayın route cose bulmamıza yardımcı olmaktadır.