Что такое кэш mui

Обновлено: 06.07.2024

при запуске программ и задавались вопросом, что это такое. Является ли это способом для вредоносного ПО гарантировать, что оно может сохраняться и запускаться при перезагрузке? Очевидно нет. В блоге Windows IR есть хорошее обсуждение этой темы, но я нашел лучший ответ в информационном бюллетене Скотта. Я скопировал содержимое ниже на случай, если сайт исчезнет:

Я не уверен, что означает MUICache, но я точно знаю, что Windows использует HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache для кэширования расположения значков и их строковых описаний для различных внутренних применений окон.

Например, если вы измените значение @C:\WINDOWS\system32\SHELL32.dll,-8964 с Корзины на Корзину и нажмете F5 на десткопе, описание вашей Корзины будет Корзина.

По сути, строка Trash теперь связана со значком корзины, хранящимся в SHELL32.dll. Если щелкнуть правой кнопкой мыши любой ярлык и выбрать свойства, а затем выбрать «Изменить значок» на вкладке «Ярлык», вы увидите все значки, хранящиеся в SHELL32.dll.

Другой пример: когда вы пытаетесь запустить файл с незарегистрированным/нерегконизированным расширением в Windows, вы получите диалоговое окно с предложением выбрать программу из списка.

В списке «Программы» отображаются значки и их строковые имена, которые представляют программы, имеющие команду «открыть» в реестре.

Adobe Acrobat 7.0 соответствует паре "ключ-значение"
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe - Adobe Acrobat 7.0 в MUICache .

Ключ представляет собой расположение исполняемого файла, в котором хранится значок, а значение представляет собой строку описания исполняемого файла. Вы можете получить строку описания, щелкнув правой кнопкой мыши исполняемый файл и выбрав свойства. На вкладке версии вы увидите используемую строку описания.

Разработчик C++ поместит эту информацию в ресурс (файл .rc) под записью VS_VERSION_INFO.

Разработчик может создать ключ в MUICache во время установки или программно при запуске программы.

Эта запись обычно создается Windows автоматически, когда пользователь дважды щелкает зарегистрированное/регконизированное расширение.

Например, в HKEY_CLASSES_ROOT есть ключ с именем .doc. Значение по умолчанию для этого ключа — Word.Document.8 . Когда файл документа Word дважды щелкается, Windows ищет ключ .doc в HKEY_CLASSES_ROOT и знает, какой тип документа .doc, и в этом случае Word.Document.8 . Затем Windows ищет Word.Document.8 в HKEY_CLASSES_ROOT. В Word.Document.8 есть ключ, который сообщает Windows, какую программу и какие аргументы нужно передать, чтобы открыть такой документ. На моем компьютере ключ HKEY_CLASSES_ROOT\Word.Document.8\shell\Open\Command и его значение "C:\Program Files\Microsoft Office\OFFICE11\WINWORD" /n /dde

Эта запись также вызывается, когда вы выбираете «Инструменты» > «Параметры папки» в меню «Папка» и выбираете вкладку «Типы файлов». Там вы увидите запись документа. Выделите его и выберите «Дополнительно» и дважды щелкните по открытой записи. Вы увидите точно такую ​​же строку в HKEY_CLASSES\Word.Document.8\shell\Open\Command .

После двойного щелчка по известному расширению и открытия документа программой Windows автоматически создает 2 записи: одна HKEY_CLASSES_ROOT\Applications\Winword.exe\shell, чтобы указать, что должно отображаться в списке приложений и как открыть документ. (рисунок ниже), а другой находится в MUICache для соответствующего значка и строки описания.

Разработчик может программно создать ключ в MUICache и HKEY_CLASSES_ROOT\Applications\filename.exe или использовать сценарии в процессе установки. Если нет, то при активации зарегистрированного/распознанного расширения эти две записи создаются автоматически.

Когда вы удалите эти две записи (но, пожалуйста, не делайте этого), они снова появятся при следующем двойном щелчке по известному файлу расширения (при условии, что реестр расширений не поврежден).

Вот почему иногда мы видим, что эти два ключа связаны с вирусами, потому что пока исполняемый файл вируса все еще находится на машине, вы не можете избавиться от этих ключей. Если вы посмотрите на симантический веб-сайт, они задокументировали вирус под названием dialer.exe (который совершает дорогостоящие телефонные звонки с вашего компьютера), связанный с MUICache.

MUI означает многоязычный пользовательский интерфейс. Это технология, позволяющая системам Windows иметь одно приложение, локализованное для нескольких языков. Разработчики создают файл .MUI для каждого языка, поддерживаемого приложением, и эти файлы позволяют пользователю переключать язык. Файлы MUI генерируют ключ MUICache в реестре. Ключ MUICache содержит информацию о файлах, которые выполняются в системе, которые операционная система извлекает при использовании нового приложения.

Значение артефакта MUICache для цифровой криминалистики

Артефакт MUICache может предоставить полезную информацию о приложениях и инструментах, установленных и запущенных через учетную запись пользователя.Этот артефакт также может указывать на вредоносные действия в системе; поскольку информация в ключе MUICache сохраняется, даже если злоумышленник удалил приложения с устройства. Кроме того, если значения для приложения были удалены из ключа, они снова появятся при следующем запуске этого приложения пользователем.

Расположение артефакта MUICache

Путь к ключу MuiCache различается в разных операционных системах Windows. В Windows 2000, Windows XP, Windows Server 2003 ключ находится в кусте NTUSER.dat по адресу:

Программное обеспечение\Microsoft\Windows\ShellNoRoam\MUICache

Начиная с Windows Vista ключ находится в кусте USRCLASS.dat в следующем месте:

Локальные настройки\Программное обеспечение\Microsoft\Windows\Shell\MuiCache

Структура артефакта MUICache

Как показано на снимке экрана ниже, ключ MuiCache содержит несколько значений. Для каждого значения поле «Имя» содержит путь к исполняемому файлу, а поле «Данные» содержит информацию о исполняемом файле, например имя приложения.


Анализ артефакта MUICache с помощью ArtiFast Windows

В этом разделе обсуждается, как использовать ArtiFast Windows для анализа артефакта MUICache с компьютеров Windows, а также какие аналитические выводы мы можем получить из артефакта.

После того как вы создали свое дело и добавили доказательства для расследования, на этапе выбора артефактов вы можете выбрать артефакт MUICache:



После того как плагины синтаксического анализатора ArtiFast завершат обработку артефактов для анализа, их можно просмотреть с помощью «Просмотра артефактов» или «Просмотра временной шкалы» с возможностями индексирования, фильтрации и поиска. Ниже приведено подробное описание артефакта MUICache в ArtiFast Windows.

  • Имя файла — имя исполняемого файла.
  • Путь к файлу — путь к исполняемому файлу.
  • Данные — дополнительная информация о выполняемом файле.

Каждый раз, когда вы начинаете использовать новое приложение, операционная система Windows автоматически извлекает имя приложения из ресурса версии исполняемого файла и сохраняет его для последующего использования в разделе реестра, известном как «MuiCache».

Эта утилита позволяет легко просматривать и редактировать список всех элементов MuiCache в вашей системе. Вы можете отредактировать название приложения или удалить ненужные элементы MUICache.
Имейте в виду, что даже если вы удалите элементы MUICache, они снова появятся при следующем запуске приложения.

Расположение данных MUICache в реестре

В Windows 2000, Windows XP, Windows Server 2003 данные MUICache хранятся в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache.
Начиная с Windows Vista, данные MUICache хранятся в разделе HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache

История версий

  • Версия 1.01: добавлен параметр командной строки для сортировки и исправлена ​​проблема со значками в Windows 7/x64.
  • Версия 1.00 — первый выпуск.

Использование MUICacheView

MUICacheView не требует установки или дополнительных библиотек DLL. Для того, чтобы начать использовать его, просто запустите исполняемый файл - MUICacheView.exe
Главное окно MUICacheView отображает список всех элементов MUICache. Вы можете выбрать один или несколько элементов и использовать опцию «Удалить выбранные элементы», чтобы удалить их. Вы также можете использовать окно «Свойства», чтобы изменить имя приложения для отдельного элемента MUICache.

Системные требования

Эта утилита работает в Windows 2000, Windows XP, Windows Server 2003/2008, Windows Vista и Windows 7.

Перевод MUICacheView на другие языки

  1. Запустите MUICacheView с параметром /savelangfile:
    MUICacheView.exe /savelangfile
    В папке утилиты MUICacheView будет создан файл с именем MUICacheView_lng.ini.
  2. Откройте созданный языковой файл в Блокноте или любом другом текстовом редакторе.
  3. Переведите все строковые записи на нужный язык. При желании вы также можете добавить свое имя и/или ссылку на свой веб-сайт. (значения TranslatorName и TranslatorURL). Если вы добавите эту информацию, она будет использоваться в окне "О программе".
  4. После завершения перевода запустите MUICacheView, и все переведенные строки будут загружены из языкового файла.
    Если вы хотите запустить MUICacheView без перевода, просто переименуйте языковой файл или переместите его в другую папку.

Параметры командной строки

Лицензия

Эта утилита распространяется бесплатно.Вам разрешено свободно распространять эту утилиту через дискету, CD-ROM, Интернет или любым другим способом, если вы ничего за это не берете. Если вы распространяете эту утилиту, вы должны включить все файлы в дистрибутив без каких-либо изменений!

Отказ от ответственности

Программное обеспечение предоставляется «КАК ЕСТЬ» без каких-либо явных или подразумеваемых гарантий, включая, помимо прочего, подразумеваемые гарантии товарного состояния и пригодности для определенной цели. Автор не несет ответственности за какой-либо особый, случайный, косвенный или косвенный ущерб из-за потери данных или по любой другой причине.

Открыть файл MUI

MUI, или многоязычный пользовательский интерфейс, представляет собой технологию интернационализации, используемую в операционных системах Windows версии 2000 и более поздних. Файлы с расширением MUI содержат ресурсы, позволяющие интерфейсу Windows отображать разные языки. Операционная система Windows может открывать файлы .MUI в зависимости от инструкций, данных операционной системе пользователем.

С помощью этих файлов пользователь может переключать языки, не изменяя двоичные файлы ядра операционной системы и используя их более чем на одном языке. Языки применяются в виде пакетов и содержат необходимые ресурсы для локализации части или всего пользовательского интерфейса.

Файлы MUI генерируют ключ в реестре Windows, который мы кратко объясним в следующих строках.

MUICache

MUICache – это ресурс Windows, который действует как раздел реестра, отвечающий за хранение информации об исполняемом файле каждого приложения, который операционная система автоматически извлекает при использовании нового приложения.

У MUICache есть такая функция, что даже если вы удалите некоторые элементы, они снова появятся при следующем запуске этого приложения.

Расположение данных MUICache в реестре до Windows Vista:

Начиная с Windows Vista, данные MUICache хранятся в

MUICache и вредоносные программы

Следует отметить, что MUICache — очень распространенный раздел реестра, который подвергается атакам вредоносных программ, троянских программ и т.п. Есть ссылки на вредоносные программы, создающие значения в этом ключе, в частности, Trojan-Alexmo и Adware-BlowSearch.

Указания ведут к созданию ключей, однако они не дают дополнительной информации об их использовании. Наиболее важной рекомендацией является регулярное обновление антишпионского ПО и регулярное полное сканирование системы.

Известно, что некоторые общепризнанные антивирусы, такие как Panda Antivirus, обнаружили вредоносное ПО, которое маскируется под «антивирус» и использует MUICache для сохранения временных файлов на случай, если они будут удалены настоящим антивирусом.

Блог Windows Incident Response посвящен множеству информации, связанной с темами IR и цифрового анализа систем Windows. Этот блог предоставляет информацию в поддержку моих книг; "Криминалистический анализ Windows" (с 1-го по 4-е издания), "Криминалистическая экспертиза реестра Windows", а также книга, которую я написал в соавторстве с Кори Алтейдом, "Цифровая криминалистика с помощью инструментов с открытым исходным кодом".

Вторник, 27 декабря 2005 г.

Тайна MUICache. решено??

Святые ключи реестра, Бэтмен!

Ладно, я уже какое-то время выбрасывал это из головы и даже откладывал на второй план, но никогда не забывал об этом полностью. Проблема заключается в этом ключе реестра MUICache, а точнее:

Это проблема, поскольку некоторое время назад я начал замечать ссылки на вредоносное ПО, создающее значения под этим ключом. в частности, Trojan-Alexmo и Adware-BlowSearch. В технических описаниях просто говорилось, что ключи были созданы, но не сообщалось об их использовании. Было ли это новым местом запуска, которое обнаружили авторы вредоносных программ? Для чего используется ключ? Я сделал несколько поисков, но нашел слишком много информации, чтобы пробираться и переваривать. Я разместил вопросы, но не получил ответов.

Итак, сегодня я заканчиваю ForensicFocus, и "Копье" (я предполагаю, что это копье для наведения) что-то говорит о значениях ключей MUICache, которые указывают на исполняемые файлы, имеющие имена окон в качестве значений. Вы знаете, когда вы открываете командную строку в XP, например, она говорит «Командная строка» в качестве заголовка (Вопрос-вопрос: кто-нибудь помнит, как изменить этот заголовок в пакетном файле DOS, чтобы что-то другое, чем «Командная строка " появляется ??) окна. Что ж, я открыл свой RegEdit и взглянул на записи под ключом. Я внимательно изучил некоторые значения, указывающие на исполняемые файлы, и попытался открыть некоторые из них. Я начал понимать, что информация в реестре отличается от того, что я видел в виде заголовков окон.

Затем я запустил Perl и запустил сценарий, который использую для извлечения информации о версии файла из исполняемых файлов (например, EXE, DLL и т. д.). О чудо, но там, под значением FileDescription, была строка, которую я искал в реестре!

Итак, что это значит?Что ж, я начал искать «Muicache + описание файла» и нашел эту заархивированную запись в блоге OldNewThing. Оттуда я нашел другие. в частности, этот с форума Sun Java.

Прочитав эти записи, я понял, что значения, которые вы видите под ключом MUICache, помещаются туда не исполняемым файлом, а оболочкой (например, Explorer.exe). Поэтому, когда в техническом описании вредоносного ПО указано, что исполняемый файл «создает запись под ключом MUICache», это технически неверно. На самом деле происходит то, что оболочка создает запись при запуске вредоносного ПО.

Что нам может помочь с точки зрения криминалистического анализа? Что ж, это показывает, что приложение было запущено в системе XP (у меня сейчас нет системы Win2k для тестирования) в какой-то момент, независимо от того, есть ли там исполняемый файл или нет. Однако мы не знаем, когда было запущено приложение, поскольку с записями не связан список MRUList. Один индикатор может быть соответствующей записью для исполняемого файла в каталоге PreFetch.

Что ж, похоже, завеса тайны по этому конкретному вопросу была прорвана. по крайней мере, в какой-то степени. Есть еще вопросы, например, есть ли ограничение на количество записей в этом ключе?

Кроме того, необходимо провести некоторое тестирование. Например, если кто-то устанавливает троян в систему и заставляет пользователя каким-то образом запустить его, можно подумать, что под ключом появится запись. Однако, если бы злоумышленник смог получить другой исполняемый файл в системе и запустить его через троян (что-то настолько простое, как прослушиватель netcat, будет достаточно для тестирования), будет ли сделана запись для этого второго исполняемого файла? Само собой разумеется, что вредоносное ПО, работающее как служба, не будет отображаться в этой записи, потому что такие приложения обычно не привязаны к интерактивной учетной записи пользователя.

Дополнение от 30 декабря. Если неясно, один из пунктов моей записи заключается в том, что по крайней мере поставщик аудио/видеопродукции провел "анализ" некоторых новых вредоносных программ (связано) и обнаружил, что одна из них изменения, которые произошли в системе, заключались в том, что значения были добавлены к ключу MUICache. При поиске подобных вещей в Google выявляются «анализы» на других A/V-сайтах, содержащие столь же расплывчатую информацию. Однако похоже, что этот ключ НЕ на самом деле задается рассматриваемой вредоносной программой, а задается оболочкой.

Кроме того, кому вы доверяете в такого рода анализе?

Читайте также: