Analysieren Sie den Windows-Shimcache im Browser.
Ziehen Sie eine SYSTEM-Registry-Hive in das Feld und extrahieren Sie sofort jeden AppCompatCache-Eintrag — Dateipfad, Änderungszeitstempel und Format — ohne die Datei jemals hochzuladen.
Alles läuft lokal. Ihre Hive verlässt diese Seite nie.
Shimcache-Forensik — häufig gestellte Fragen
Schnelle Antworten auf die Fragen, die Forensiker bei der Analyse des Windows-AppCompatCache am häufigsten stellen.
- Was ist der Windows-ShimCache (AppCompatCache)?
- Der ShimCache, auch AppCompatCache genannt, ist eine Windows-Funktion, die ausführbare Dateien protokolliert, die das Betriebssystem für die Anwendungskompatibilität (Shimming) untersucht hat. Er speichert bis zu 1 024 Einträge pro System, inklusive Dateipfad und Änderungszeitstempel. Forensiker nutzen ihn als Beweis dafür, dass eine Binärdatei auf einem Rechner existiert hat — auch nachdem die Datei gelöscht wurde.
- Belegt ein ShimCache-Eintrag, dass ein Programm ausgeführt wurde?
- Nein. Der ShimCache erfasst Dateien, die Windows untersucht hat — das impliziert oft, aber nicht zwingend, eine Ausführung. Unter Windows 10 und 11 wurde das Ausführungs-Flag im Cache entfernt; ergänzende Artefakte (Prefetch, AmCache, Security- oder Sysmon-Ereignisprotokolle) sind nötig, um eine tatsächliche Ausführung zu belegen.
- Warum stimmt der ShimCache-Zeitstempel nicht mit der Ausführungszeit überein?
- Der angezeigte Zeitstempel ist die letzte Änderungszeit der Datei ($STANDARD_INFORMATION), nicht der Ausführungszeitpunkt. Eine kopierte Binärdatei behält ihr ursprüngliches mtime. Behandeln Sie den ShimCache als Artefakt für „Existenz eines Programms“, nicht als Ausführungs-Timeline.
- Können ShimCache-Einträge gelöscht oder manipuliert werden?
- Ja. Der ShimCache liegt im Arbeitsspeicher und wird erst beim Herunterfahren in die SYSTEM-Hive geschrieben — ein harter Neustart kann jüngste Einträge verlieren. Anti-Forensik-Werkzeuge und Registry-Bearbeitung können ihn ebenfalls leeren oder verändern. Bestätigen Sie Funde stets durch AmCache, Prefetch und Ereignisprotokolle.
- Was ist der Unterschied zwischen ShimCache und AmCache?
- Der ShimCache liegt unter HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache und speichert bis zu 1 024 Einträge mit Pfad + mtime. AmCache (Amcache.hve) ist eine eigene Datenbank, die installierte Programme und kürzlich ausgeführte Dateien mit SHA-1-Hashes und deutlich umfangreicheren Metadaten erfasst. Beide Artefakte ergänzen sich in forensischen Timelines.