Amcache 수집 및 분석

침해사고대응 수업 진행을 하면서 amcache에 대한 정보를 정리해 두었다. amcacheparser로 export 되는 csv에 대한 내용이 궁금해서 찾아본 내용이 대부분이다. Amcache amcache란? amcache는 Windows 7에서 RecentFileCache.bcf파일이 윈도우 8부터는 레지스트리 하이브 파일인 amcache.hve로 대체되었다. amcache는 최근 실행한 프로그램에 대한 정보를 가지고 있으며, 연결된 usb나 블루투스 장치와 관련된 정보들도 가지고 있다. amcache 수집 amcache는 다음과 같은 경로(C:\Windows\appcompat\Programs)에 위치한다. amcache 추출 amcache의 분석은 rega, amcacheparser등 여러 툴이 있..