Shimcache (AppCompatCache)
Was ist Shimcache (AppCompatCache)?
Shimcache (AppCompatCache)Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen.
Shimcache, offiziell Application Compatibility Cache (AppCompatCache), liegt in der SYSTEM-Hive unter ControlSet###\Control\Session Manager\AppCompatCache. Er protokolliert Pfad, Groesse und letztes Aenderungsdatum der vom AppCompat-Subsystem geprueften Executables sowie in einigen Windows-Versionen ein Execution-Flag. Der Cache wird erst beim Herunterfahren auf die Platte geschrieben, sodass Live-Extraktionen aktuelle Eintraege verlieren koennen; zudem belegt ein Eintrag nicht zwangslaeufig eine Ausfuehrung: auf aelteren Windows-Builds reichte schon der Wechsel in einen Ordner im Explorer. Auf modernen Systemen ist Amcache zuverlaessiger, doch Shimcache bleibt fuer Legacy-Hosts und als korroborierender Beleg wertvoll. Standardtool ist AppCompatCacheParser.
● Beispiele
- 01
Nachweis der Ausfuehrung eines Angreifer-Tools auf einem Windows Server 2012 R2 mit duenner Amcache-Datenlage.
- 02
Erkennen eines in C:\PerfLogs\ abgelegten Schadbinarys, obwohl es vor dem Herunterfahren geloescht wurde.
● Häufige Fragen
Was ist Shimcache (AppCompatCache)?
Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Shimcache (AppCompatCache)?
Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen.
Wie funktioniert Shimcache (AppCompatCache)?
Shimcache, offiziell Application Compatibility Cache (AppCompatCache), liegt in der SYSTEM-Hive unter ControlSet###\Control\Session Manager\AppCompatCache. Er protokolliert Pfad, Groesse und letztes Aenderungsdatum der vom AppCompat-Subsystem geprueften Executables sowie in einigen Windows-Versionen ein Execution-Flag. Der Cache wird erst beim Herunterfahren auf die Platte geschrieben, sodass Live-Extraktionen aktuelle Eintraege verlieren koennen; zudem belegt ein Eintrag nicht zwangslaeufig eine Ausfuehrung: auf aelteren Windows-Builds reichte schon der Wechsel in einen Ordner im Explorer. Auf modernen Systemen ist Amcache zuverlaessiger, doch Shimcache bleibt fuer Legacy-Hosts und als korroborierender Beleg wertvoll. Standardtool ist AppCompatCacheParser.
Wie schützt man sich gegen Shimcache (AppCompatCache)?
Schutzmaßnahmen gegen Shimcache (AppCompatCache) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Shimcache (AppCompatCache)?
Übliche alternative Bezeichnungen: AppCompatCache, AppCompat Cache.
● Verwandte Begriffe
- forensics-ir№ 043
Amcache.hve
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
- forensics-ir№ 850
Prefetch-Dateien
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 001
$UsnJrnl ($J)
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.
- forensics-ir№ 568
Jump Lists
Anwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen.