Shimcache (AppCompatCache)
Что такое Shimcache (AppCompatCache)?
Shimcache (AppCompatCache)Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации.
Shimcache, формально Application Compatibility Cache (AppCompatCache), хранится в кусте SYSTEM по пути ControlSet###\Control\Session Manager\AppCompatCache. Он фиксирует путь, размер и время последнего изменения исполняемых файлов, оцененных подсистемой AppCompat, а в некоторых версиях Windows — флаг исполнения. Кеш записывается на диск только при выключении, поэтому при «живом» сборе самые свежие записи могут быть утеряны; кроме того, запись не всегда означает запуск: на старых версиях достаточно было открыть папку в Проводнике. В современных системах Amcache достовернее, но Shimcache остаётся ценен для устаревших хостов и как подтверждающий артефакт. Стандартный инструмент — AppCompatCacheParser.
● Примеры
- 01
Подтверждение запуска инструмента атакующего на Windows Server 2012 R2, где данных Amcache мало.
- 02
Обнаружение вредоносного бинаря, размещённого в C:\PerfLogs\, даже если он был удалён до выключения.
● Частые вопросы
Что такое Shimcache (AppCompatCache)?
Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Shimcache (AppCompatCache)?
Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации.
Как работает Shimcache (AppCompatCache)?
Shimcache, формально Application Compatibility Cache (AppCompatCache), хранится в кусте SYSTEM по пути ControlSet###\Control\Session Manager\AppCompatCache. Он фиксирует путь, размер и время последнего изменения исполняемых файлов, оцененных подсистемой AppCompat, а в некоторых версиях Windows — флаг исполнения. Кеш записывается на диск только при выключении, поэтому при «живом» сборе самые свежие записи могут быть утеряны; кроме того, запись не всегда означает запуск: на старых версиях достаточно было открыть папку в Проводнике. В современных системах Amcache достовернее, но Shimcache остаётся ценен для устаревших хостов и как подтверждающий артефакт. Стандартный инструмент — AppCompatCacheParser.
Как защититься от Shimcache (AppCompatCache)?
Защита от Shimcache (AppCompatCache) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Shimcache (AppCompatCache)?
Распространённые альтернативные названия: AppCompatCache, AppCompat Cache.
● Связанные термины
- forensics-ir№ 043
Amcache.hve
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.
- forensics-ir№ 568
Jump List (Списки переходов)
Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу.