Shimcache (AppCompatCache)
¿Qué es Shimcache (AppCompatCache)?
Shimcache (AppCompatCache)Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion.
Shimcache, oficialmente Application Compatibility Cache (AppCompatCache), se almacena en la colmena SYSTEM bajo ControlSet###\Control\Session Manager\AppCompatCache. Registra ruta, tamano y fecha de ultima modificacion de los ejecutables que el subsistema AppCompat evaluo, y en algunas versiones de Windows incluso un flag de ejecucion. La cache solo se escribe a disco al apagado, por lo que la extraccion en caliente puede perder entradas recientes; ademas, una entrada no implica siempre ejecucion: en versiones antiguas, navegar a una carpeta en el Explorador podia registrar un elemento. En sistemas modernos Amcache es mas fiable, pero Shimcache sigue siendo util en hosts heredados y como evidencia corroborativa. AppCompatCacheParser es la herramienta estandar.
● Ejemplos
- 01
Confirmar la ejecucion de una herramienta del atacante en un Windows Server 2012 R2 donde Amcache aporta pocos datos.
- 02
Detectar un binario malicioso depositado en C:\PerfLogs\ aunque fuera borrado antes del apagado.
● Preguntas frecuentes
¿Qué es Shimcache (AppCompatCache)?
Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Shimcache (AppCompatCache)?
Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion.
¿Cómo funciona Shimcache (AppCompatCache)?
Shimcache, oficialmente Application Compatibility Cache (AppCompatCache), se almacena en la colmena SYSTEM bajo ControlSet###\Control\Session Manager\AppCompatCache. Registra ruta, tamano y fecha de ultima modificacion de los ejecutables que el subsistema AppCompat evaluo, y en algunas versiones de Windows incluso un flag de ejecucion. La cache solo se escribe a disco al apagado, por lo que la extraccion en caliente puede perder entradas recientes; ademas, una entrada no implica siempre ejecucion: en versiones antiguas, navegar a una carpeta en el Explorador podia registrar un elemento. En sistemas modernos Amcache es mas fiable, pero Shimcache sigue siendo util en hosts heredados y como evidencia corroborativa. AppCompatCacheParser es la herramienta estandar.
¿Cómo defenderse de Shimcache (AppCompatCache)?
Las defensas contra Shimcache (AppCompatCache) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Shimcache (AppCompatCache)?
Nombres alternativos comunes: AppCompatCache, AppCompat Cache.
● Términos relacionados
- forensics-ir№ 043
Amcache.hve
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.
- forensics-ir№ 568
Jump Lists
Archivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto.