Shimcache (AppCompatCache)
Shimcache (AppCompatCache) 是什么?
Shimcache (AppCompatCache)Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。
Shimcache 即应用程序兼容性缓存 (AppCompatCache),保存在 SYSTEM 注册表配置单元的 ControlSet###\Control\Session Manager\AppCompatCache。它记录被 AppCompat 子系统评估过的可执行文件路径、大小和最近修改时间,部分 Windows 版本还包含执行标志。该缓存仅在关机时写入磁盘,在线提取可能丢失最新记录;同时,有条目并不一定代表程序真的运行过——在旧版 Windows 中,仅在资源管理器里浏览一个文件夹也可能产生条目。在现代系统中 Amcache 更可信,但 Shimcache 对老旧主机以及作为佐证仍然有价值。常用工具是 AppCompatCacheParser。
● 示例
- 01
在 Amcache 数据稀少的 Windows Server 2012 R2 主机上,确认攻击者工具的执行。
- 02
在文件被关机前已删除的情况下,从 C:\PerfLogs\ 路径定位到恶意二进制文件。
● 常见问题
Shimcache (AppCompatCache) 是什么?
Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。 它属于网络安全的 取证与应急响应 分类。
Shimcache (AppCompatCache) 是什么意思?
Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。
Shimcache (AppCompatCache) 是如何工作的?
Shimcache 即应用程序兼容性缓存 (AppCompatCache),保存在 SYSTEM 注册表配置单元的 ControlSet###\Control\Session Manager\AppCompatCache。它记录被 AppCompat 子系统评估过的可执行文件路径、大小和最近修改时间,部分 Windows 版本还包含执行标志。该缓存仅在关机时写入磁盘,在线提取可能丢失最新记录;同时,有条目并不一定代表程序真的运行过——在旧版 Windows 中,仅在资源管理器里浏览一个文件夹也可能产生条目。在现代系统中 Amcache 更可信,但 Shimcache 对老旧主机以及作为佐证仍然有价值。常用工具是 AppCompatCacheParser。
如何防御 Shimcache (AppCompatCache)?
针对 Shimcache (AppCompatCache) 的防御通常结合技术控制与运营实践,详见上方完整定义。
Shimcache (AppCompatCache) 还有哪些其他名称?
常见的别称包括: AppCompatCache, AppCompat Cache。
● 相关术语
- forensics-ir№ 043
Amcache.hve
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 001
$UsnJrnl ($J)
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
- forensics-ir№ 568
跳转列表 (Jump Lists)
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。