Shimcache (AppCompatCache)
O que é Shimcache (AppCompatCache)?
Shimcache (AppCompatCache)Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao.
O Shimcache, formalmente Application Compatibility Cache (AppCompatCache), fica na colmeia SYSTEM em ControlSet###\Control\Session Manager\AppCompatCache. Ele registra caminho, tamanho e hora de ultima modificacao dos executaveis avaliados pelo subsistema AppCompat e, em algumas versoes do Windows, um flag de execucao. O cache so e gravado em disco no desligamento, entao extracoes ao vivo podem perder entradas recentes; alem disso, uma entrada nem sempre significa que a binaria executou: em versoes antigas, simplesmente navegar ate uma pasta no Explorer podia registrar um item. Em sistemas modernos o Amcache e mais confiavel, mas o Shimcache continua util para hosts legados e como evidencia corroborativa. O parser padrao e o AppCompatCacheParser.
● Exemplos
- 01
Confirmar a execucao de uma ferramenta do atacante em um Windows Server 2012 R2 com poucos dados no Amcache.
- 02
Localizar uma binaria maliciosa colocada em C:\PerfLogs\ ainda que tenha sido apagada antes do shutdown.
● Perguntas frequentes
O que é Shimcache (AppCompatCache)?
Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Shimcache (AppCompatCache)?
Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao.
Como funciona Shimcache (AppCompatCache)?
O Shimcache, formalmente Application Compatibility Cache (AppCompatCache), fica na colmeia SYSTEM em ControlSet###\Control\Session Manager\AppCompatCache. Ele registra caminho, tamanho e hora de ultima modificacao dos executaveis avaliados pelo subsistema AppCompat e, em algumas versoes do Windows, um flag de execucao. O cache so e gravado em disco no desligamento, entao extracoes ao vivo podem perder entradas recentes; alem disso, uma entrada nem sempre significa que a binaria executou: em versoes antigas, simplesmente navegar ate uma pasta no Explorer podia registrar um item. Em sistemas modernos o Amcache e mais confiavel, mas o Shimcache continua util para hosts legados e como evidencia corroborativa. O parser padrao e o AppCompatCacheParser.
Como se defender contra Shimcache (AppCompatCache)?
As defesas contra Shimcache (AppCompatCache) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Shimcache (AppCompatCache)?
Nomes alternativos comuns: AppCompatCache, AppCompat Cache.
● Termos relacionados
- forensics-ir№ 043
Amcache.hve
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
- forensics-ir№ 850
Arquivos Prefetch
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
- forensics-ir№ 568
Jump Lists
Arquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico.