Novel analysis approaches for Windows Shimcache in forensic investigations

Loading...
Thumbnail Image

URL

Journal Title

Journal ISSN

Volume Title

Perustieteiden korkeakoulu | Master's thesis

Date

2023-08-21

Department

Major/Subject

Security and Cloud Computing

Mcode

SCI3084

Degree programme

Master’s Programme in Computer, Communication and Information Sciences

Language

en

Pages

65 + 1

Series

Abstract

This thesis delves into the realm of digital forensics of cyber attacks, with a particular emphasis on understanding the progression and execution of such attacks after they have occurred. One important factor in forensics is to ascertain the execution and installation times of malware and other attack tools. In many instances, information provided by operating system logs is insufficient and can be manipulated, presenting a significant challenge in forensic investigations. As a solution, this research exploits the relatively undocumented caches of Windows systems, namely Shimcache and Amcache. The primary objectives of this thesis were to explore the behaviour of Shimcache in Windows, devise new analysis methods for Shimcache, and supplement Shimcache analysis with data from Amcache. To achieve these objectives, a mixed-method approach incorporating a grey literature review, controlled experiments, and secondary data analysis was employed. The findings from the research suggest that the inclusion of data from Amcache facilitates the extraction of 2.7 times the Shimcache insertion timestamps in analysis, compared to examining Shimcache in isolation. Shimcache insertion timestamps often coincide with initial execution of a file, which is why their extraction is beneficial. The research also led to the identification of previously unexplored behaviours of Shimcache, including in-place entry updates and the presence of entries related to Universal Windows Platform applications. The novel contributions of this research to the field of digital forensics include the development of three new Shimcache analysis methods, two of which employ the concept of combining data from Amcache to Shimcache. These techniques have been incorporated into an existing open-source forensic tool, improving the accessibility and effectiveness of Shimcache analysis during forensic investigations.

Tämä diplomityö käsittelee digitaalista rikostutkimustekniikkaa kyberhyökkäysten tutkimisessa. Kyberhyökkäysten tutkimisen tavoitteena on löytää tietoa hyökkäyksen kulusta jälkikäteen. Yksi tärkeä tekijä tutkinnassa on määrittää haittaohjelmien ja muiden hyökkäystyökalujen suoritus- ja asennusaikoja. Useissa tapauksissa käyttöjärjestelmän lokien tarjoama tieto on riittämätöntä ja sitä on mahdollisesti väärennetty. Ratkaisuna tähän tämä diplomityö hyödyntää Windows-käyttöjärjestelmän niukasti dokumentoituja välimuisteja, jotka ovat nimeltään Shimcache ja Amcache. Diplomityön päätavoite oli tutkia Shimcachen käyttäytymistä Windowsissa, kehittää uusia analyysimenetelmiä Shimcachelle ja rikastaa Shimcache-analyysia Amcache-välimuistissa olevalla datalla. Näiden tutkimustavoitteiden saavuttamiseksi käytettiin useamman tutkimustavan yhdistelmää, joka sisälsi kirjallisuuskatsauksen, kontrolloidut kokeet ja data-analyysin. Kun kokeissa käytettiin Amcachen dataa lisänä Shimcache-analyysissä, löydettiin keskimäärin 2,7-kertainen määrä Shimcachen merkintöjen lisäysaikoja verrattuna pelkän Shimcache datan käyttöön. Shimcachen merkintälisäykset ovat yleensä samanaikaisia ohjelmien ensimmäisen suorituksen kanssa, jolloin päästään käsiksi myös haittaohjelmien suoritusaikoihin. Tutkimuksessa löydettiin myös aiemmin dokumentoimattomia Shimcachen käyttäytymistapoja, kuten paikallaan tapahtuvien merkintäpäivityksien sekä Universal Windows Platform -sovelluksiin liittyvien merkintöjen olemassaolo. Diplomityön tuloksena kehitettiin kolme uutta Shimcache-analyysimenetelmää digitaalisen rikostekniikan alalle. Näistä kaksi hyödyntää Amcachen ja Shimcachen tietojen yhdistämistä. Kehitetyt tekniikat ohjelmoitiin olemassa olevaan avoimen lähdekoodin tutkimustyökaluun, joka helpottaa huomattavasti Shimcache-analyysin käytettävyyttä kyberhyökkäysten tutkimisessa.

Description

Supervisor

Aura, Tuomas

Thesis advisor

Surmeli, Mehmet Mert

Keywords

amcache, AppCompatCache, digital forensics, incident response, Shimcache, Windows

Other note

Citation