Shimcache Parser

Shimcache Parser — Blog https://www.shimcacheparser.com/de/blog Latest from Blog de Tue, 26 May 2026 18:41:27 GMT Alte ShimCache-Formate: Windows XP, 2003, Vista, 7 und 8 https://www.shimcacheparser.com/de/blog/legacy-shimcache-formats https://www.shimcacheparser.com/de/blog/legacy-shimcache-formats Das AppCompatCache-Binärlayout änderte sich mit fast jedem Windows-Release. Dies ist eine Referenz pro Version zu den älteren Formaten — XP, Server 2003, Vista/2008, Windows 7 und 8 — und den Magic-Werten, die sie identifizieren. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Zeichnet der ShimCache gelöschte Dateien auf? https://www.shimcacheparser.com/de/blog/shimcache-deleted-files https://www.shimcacheparser.com/de/blog/shimcache-deleted-files Ja — und genau deshalb ist er wichtig. Der ShimCache behält routinemäßig Einträge für ausführbare Dateien, die nicht mehr auf der Disk existieren. Hier steht warum, wie lange sie überleben und wie man Einträge gelöschter Dateien als Beweis nutzt. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Laterale Bewegung mit dem ShimCache erkennen https://www.shimcacheparser.com/de/blog/shimcache-lateral-movement https://www.shimcacheparser.com/de/blog/shimcache-lateral-movement Remote-Execution-Werkzeuge hinterlassen einen erkennbaren ShimCache-Fußabdruck auf Quell- und Ziel-Host. Eine praktische Anleitung, laterale Bewegung über eine Windows-Landschaft mit dem AppCompatCache zu rekonstruieren. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Was der ShimCache-Zeitstempel wirklich bedeutet (und was nicht) https://www.shimcacheparser.com/de/blog/shimcache-timestamp-explained https://www.shimcacheparser.com/de/blog/shimcache-timestamp-explained Der Zeitstempel eines ShimCache-Eintrags ist die letzte Änderungszeit der Datei — nicht der Ausführungszeitpunkt des Programms. Hier steht genau, was der Wert ist, warum er Ermittler in die Irre führt und wie man ihn korrekt nutzt. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT ShimCache vs. Prefetch: was beweist, dass ein Programm lief? https://www.shimcacheparser.com/de/blog/shimcache-vs-prefetch https://www.shimcacheparser.com/de/blog/shimcache-vs-prefetch Prefetch zeichnet Ausführung auf; ShimCache zeichnet auf, dass Windows eine Datei untersucht hat. Sie beantworten unterschiedliche Fragen mit unterschiedlicher Zuverlässigkeit. Ein direkter Vergleich für Forensiker. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Können Angreifer den ShimCache löschen? Anti-Forensik und Erkennung https://www.shimcacheparser.com/de/blog/shimcache-anti-forensics https://www.shimcacheparser.com/de/blog/shimcache-anti-forensics Der ShimCache lässt sich manipulieren — aber selten sauber. Dieser Beitrag zeigt, was Angreifer tatsächlich versuchen, und welche forensischen Indizien Ermittler nutzen können, um Manipulation zu erkennen. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT ShimCache aus einem Speicher-Dump extrahieren https://www.shimcacheparser.com/de/blog/shimcache-from-memory-dump https://www.shimcacheparser.com/de/blog/shimcache-from-memory-dump Weil der Windows-ShimCache erst beim Shutdown in die Registry geschrieben wird, enthält ein Speicher-Dump häufig Einträge, die die On-Disk-Hive nicht hat. Anleitung mit Volatility und Velociraptor. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Eine Programmausführungs-Timeline aus einer SYSTEM-Hive bauen https://www.shimcacheparser.com/de/blog/shimcache-incident-timeline https://www.shimcacheparser.com/de/blog/shimcache-incident-timeline Eine Timeline, die ShimCache, AmCache, Prefetch und die BAM-Daten der SYSTEM-Hive vereint, ist das Rückgrat der meisten Windows-IR-Berichte. Anleitung von Anfang bis Ende. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Malware-Jagd mit dem ShimCache: ein Schritt-für-Schritt-Workflow https://www.shimcacheparser.com/de/blog/shimcache-malware-hunting https://www.shimcacheparser.com/de/blog/shimcache-malware-hunting Ein praktischer Workflow, um den Windows-ShimCache im Threat Hunting und in der Incident Response zu nutzen — worauf zu achten ist, wie Hits triagiert und korroboriert werden. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Den ShimCache in Ransomware-Untersuchungen nutzen https://www.shimcacheparser.com/de/blog/shimcache-ransomware-investigation https://www.shimcacheparser.com/de/blog/shimcache-ransomware-investigation Ransomware-Akteure löschen ihre Werkzeuge, verschlüsseln und wischen, und starten neu, um Spuren zu verwischen. Der ShimCache ist eines der wenigen Artefakte, das danach noch grundlegende Fragen beantwortet. So nutzen Sie ihn. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Eine Windows-SYSTEM-Hive für die Offline-ShimCache-Analyse sichern https://www.shimcacheparser.com/de/blog/acquiring-system-hive https://www.shimcacheparser.com/de/blog/acquiring-system-hive Praktische Anleitung zum Auslesen der SYSTEM-Registry-Hive (samt Transaktionslogs) für die Offline-Forensik — von der toten Disk, vom laufenden System, oder aus einem Speicher-Image. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ShimCache-Parser im Vergleich: Mandiant, Zimmerman, Velociraptor und dieses Tool https://www.shimcacheparser.com/de/blog/comparing-shimcache-parsers https://www.shimcacheparser.com/de/blog/comparing-shimcache-parsers Vier offene Werkzeuge dominieren das Offline-Parsen des ShimCache — jedes mit eigenen Stärken. Praktischer Vergleich für die Tool-Wahl je nach Workflow. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Prefetch, AmCache, ShimCache: schnelle Referenz für Programmausführungs-Beweise https://www.shimcacheparser.com/de/blog/program-execution-artifacts-reference https://www.shimcacheparser.com/de/blog/program-execution-artifacts-reference Seitliche Referenz der fünf Windows-Artefakte, die für den Nachweis einer Programmausführung am nützlichsten sind — Prefetch, AmCache, ShimCache, UserAssist, BAM/DAM — mit Zuverlässigkeit und Einschränkungen. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Beweist der ShimCache, dass ein Programm ausgeführt wurde? https://www.shimcacheparser.com/de/blog/shimcache-proof-of-execution https://www.shimcacheparser.com/de/blog/shimcache-proof-of-execution Ein ShimCache-Eintrag wird regelmäßig fälschlich als Beweis für eine Ausführung verstanden. Die Wahrheit ist nuancierter — hier ist, was der Cache tatsächlich aufzeichnet und wie man die Ausführung korrekt bestätigt. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ShimCache vs. AmCache: welches Windows-Artefakt beantwortet welche Frage https://www.shimcacheparser.com/de/blog/shimcache-vs-amcache https://www.shimcacheparser.com/de/blog/shimcache-vs-amcache ShimCache und AmCache liefern beide Hinweise zur Programmausführung unter Windows, zeichnen aber Unterschiedliches zu unterschiedlichen Zeitpunkten und mit unterschiedlicher Zuverlässigkeit auf. Ein praktischer Vergleich für Forensiker. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Wo wird der ShimCache gespeichert, und wann wird er geschrieben? https://www.shimcacheparser.com/de/blog/where-is-shimcache-stored https://www.shimcacheparser.com/de/blog/where-is-shimcache-stored Der Windows-ShimCache liegt in einem einzigen Registry-Wert, wird aber nur beim Herunterfahren persistiert. Speicherpfad und Schreibzeitpunkt zu verstehen, verändert, wie Forensiker mit dieser flüchtigen Beweisquelle umgehen. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ShimCache parsen: das Binärformat von Windows 10 und 11 https://www.shimcacheparser.com/de/blog/windows-10-11-shimcache-format https://www.shimcacheparser.com/de/blog/windows-10-11-shimcache-format Praktischer Walkthrough des Binärlayouts des AppCompatCache unter Windows 10 und 11 — Header-Bytes, Magic pro Eintrag, Pfad-Encoding und die Offsets, die ein Parser korrekt treffen muss. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Den Windows-ShimCache (AppCompatCache) verstehen https://www.shimcacheparser.com/de/blog/welcome https://www.shimcacheparser.com/de/blog/welcome Eine praktische Einführung in den Windows-ShimCache — wo er liegt, was er aufzeichnet und wie Forensiker damit die Existenz eines Programms belegen. Shimcache Parser Fri, 15 May 2026 00:00:00 GMT