Shimcache (AppCompatCache).

Windows のレジストリ値で、アプリケーション互換性チェック用に実行ファイルのメタデータを記録する。歴史的に実行証跡として利用されてきたが、解釈には注意点が多い。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

Windows のレジストリ値で、アプリケーション互換性チェック用に実行ファイルのメタデータを記録する。歴史的に実行証跡として利用されてきたが、解釈には注意点が多い。

Shimcache、正式には Application Compatibility Cache (AppCompatCache) は、SYSTEM ハイブの ControlSet###\Control\Session Manager\AppCompatCache に格納されます。AppCompat サブシステムが評価した実行ファイルのパス・サイズ・最終更新時刻を、一部の Windows バージョンでは実行フラグも含めて記録します。キャッシュはシャットダウン時にしかディスクに書き込まれないため、稼働中の抽出では最新エントリを取り逃す可能性があり、エントリの存在=実行を意味するとは限りません。古い Windows ではエクスプローラでフォルダを開いただけで登録されることがあります。最新環境では Amcache がより信頼でき、Shimcache はレガシーホストや補強証拠としての価値が残ります。標準ツールは AppCompatCacheParser です。

Shimcache (AppCompatCache) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: AppCompatCache, AppCompat Cache。