Shimcache (AppCompatCache)
Qu'est-ce que Shimcache (AppCompatCache) ?
Shimcache (AppCompatCache)Valeur du registre Windows qui trace des metadonnees d'executables pour les controles de compatibilite ; historiquement utilisee comme preuve d'execution, avec d'importantes nuances d'interpretation.
Shimcache, officiellement Application Compatibility Cache (AppCompatCache), est stocke dans la ruche SYSTEM sous ControlSet###\Control\Session Manager\AppCompatCache. Il enregistre chemin, taille et date de derniere modification des executables analyses par le sous-systeme AppCompat, et sur certaines versions de Windows un drapeau d'execution. Le cache n'est ecrit sur disque qu'a l'arret, donc une extraction a chaud peut rater les entrees recentes ; de plus, une entree ne signifie pas toujours que la binaire a ete executee : sur d'anciennes versions, parcourir un dossier dans l'Explorateur pouvait suffire. Sur les systemes recents Amcache est plus fiable, mais Shimcache reste utile sur les hotes legacy et comme element corroboratif. AppCompatCacheParser est l'outil standard.
● Exemples
- 01
Confirmer l'execution d'un outil d'attaquant sur un Windows Server 2012 R2 ou Amcache est lacunaire.
- 02
Reperer une binaire malicieuse posee dans C:\PerfLogs\ alors qu'elle a ete supprimee avant l'arret.
● Questions fréquentes
Qu'est-ce que Shimcache (AppCompatCache) ?
Valeur du registre Windows qui trace des metadonnees d'executables pour les controles de compatibilite ; historiquement utilisee comme preuve d'execution, avec d'importantes nuances d'interpretation. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Shimcache (AppCompatCache) ?
Valeur du registre Windows qui trace des metadonnees d'executables pour les controles de compatibilite ; historiquement utilisee comme preuve d'execution, avec d'importantes nuances d'interpretation.
Comment fonctionne Shimcache (AppCompatCache) ?
Shimcache, officiellement Application Compatibility Cache (AppCompatCache), est stocke dans la ruche SYSTEM sous ControlSet###\Control\Session Manager\AppCompatCache. Il enregistre chemin, taille et date de derniere modification des executables analyses par le sous-systeme AppCompat, et sur certaines versions de Windows un drapeau d'execution. Le cache n'est ecrit sur disque qu'a l'arret, donc une extraction a chaud peut rater les entrees recentes ; de plus, une entree ne signifie pas toujours que la binaire a ete executee : sur d'anciennes versions, parcourir un dossier dans l'Explorateur pouvait suffire. Sur les systemes recents Amcache est plus fiable, mais Shimcache reste utile sur les hotes legacy et comme element corroboratif. AppCompatCacheParser est l'outil standard.
Comment se défendre contre Shimcache (AppCompatCache) ?
Les défenses contre Shimcache (AppCompatCache) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Shimcache (AppCompatCache) ?
Noms alternatifs courants : AppCompatCache, AppCompat Cache.
● Termes liés
- forensics-ir№ 043
Amcache.hve
Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.
- forensics-ir№ 850
Fichiers Prefetch
Fichiers .pf de Windows situes dans C:\Windows\Prefetch qui enregistrent le demarrage des processus et fournissent une preuve forte qu'un executable a tourne sur la machine.
- forensics-ir№ 677
MFT (Master File Table)
Structure de metadonnees centrale de NTFS qui stocke un enregistrement de 1024 octets par fichier ou repertoire du volume et constitue la base de l'analyse forensique du systeme de fichiers Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal des numeros de sequence de mise a jour de NTFS qui enregistre chaque operation du systeme de fichiers et fournit aux forensiques une frise chronologique a haute resolution.
- forensics-ir№ 568
Jump Lists
Fichiers d'historique par application indexes par AppID Windows, qui memorisent les fichiers et taches recents d'un utilisateur et fournissent une preuve forte d'acces a un fichier via un programme donne.