Shimcache (AppCompatCache)
Shimcache (AppCompatCache) とは何ですか?
Shimcache (AppCompatCache)Windows のレジストリ値で、アプリケーション互換性チェック用に実行ファイルのメタデータを記録する。歴史的に実行証跡として利用されてきたが、解釈には注意点が多い。
Shimcache、正式には Application Compatibility Cache (AppCompatCache) は、SYSTEM ハイブの ControlSet###\Control\Session Manager\AppCompatCache に格納されます。AppCompat サブシステムが評価した実行ファイルのパス・サイズ・最終更新時刻を、一部の Windows バージョンでは実行フラグも含めて記録します。キャッシュはシャットダウン時にしかディスクに書き込まれないため、稼働中の抽出では最新エントリを取り逃す可能性があり、エントリの存在=実行を意味するとは限りません。古い Windows ではエクスプローラでフォルダを開いただけで登録されることがあります。最新環境では Amcache がより信頼でき、Shimcache はレガシーホストや補強証拠としての価値が残ります。標準ツールは AppCompatCacheParser です。
● 例
- 01
Amcache のデータが乏しい Windows Server 2012 R2 ホストで攻撃者ツールの実行を確認する。
- 02
シャットダウン前に削除された場合でも、C:\PerfLogs\ に置かれた不正バイナリを特定する。
● よくある質問
Shimcache (AppCompatCache) とは何ですか?
Windows のレジストリ値で、アプリケーション互換性チェック用に実行ファイルのメタデータを記録する。歴史的に実行証跡として利用されてきたが、解釈には注意点が多い。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
Shimcache (AppCompatCache) とはどういう意味ですか?
Windows のレジストリ値で、アプリケーション互換性チェック用に実行ファイルのメタデータを記録する。歴史的に実行証跡として利用されてきたが、解釈には注意点が多い。
Shimcache (AppCompatCache) からどのように防御しますか?
Shimcache (AppCompatCache) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Shimcache (AppCompatCache) の別名は何ですか?
一般的な別名: AppCompatCache, AppCompat Cache。