Analiza el Shimcache de Windows en tu navegador.
Suelta una colmena de registro SYSTEM y extrae al instante cada entrada de AppCompatCache — ruta del archivo, fecha de modificación, formato del sistema — sin subir nunca el archivo.
Todo se ejecuta localmente. Tu colmena nunca sale de esta página.
Forense del Shimcache — preguntas frecuentes
Respuestas rápidas a las preguntas más habituales al analizar el AppCompatCache de Windows.
- ¿Qué es el ShimCache de Windows (AppCompatCache)?
- El ShimCache, también llamado AppCompatCache, es una función de Windows que registra los ejecutables que el sistema operativo ha examinado para la compatibilidad de aplicaciones (shimming). Almacena hasta 1.024 entradas por sistema, incluyendo la ruta del archivo y la marca de tiempo de última modificación. Los investigadores lo utilizan como evidencia de que un binario existió en un equipo, incluso después de eliminarlo.
- ¿Una entrada del ShimCache prueba que un programa se ejecutó?
- No. El ShimCache registra los archivos que Windows examinó, lo que suele —pero no siempre— implicar ejecución. En Windows 10 y 11 se eliminó el indicador de ejecución de la caché, por lo que se necesitan artefactos complementarios (Prefetch, AmCache, registros de eventos de Seguridad o Sysmon) para confirmar una ejecución real.
- ¿Por qué la marca de tiempo del ShimCache no coincide con cuándo se ejecutó el programa?
- La marca de tiempo mostrada es la fecha de última modificación del archivo ($STANDARD_INFORMATION), no la hora de ejecución. Un binario copiado sin cambiar la marca temporal mostrará su mtime original. Trata el ShimCache como un artefacto de «existencia de programa», no como una línea de tiempo de ejecución.
- ¿Se pueden borrar o manipular las entradas del ShimCache?
- Sí. El ShimCache se mantiene en memoria y solo se escribe en la colmena SYSTEM al apagar el equipo, por lo que un reinicio forzado puede perder las entradas recientes. Herramientas antiforenses y la edición del registro también pueden vaciarlo o modificarlo. Corrobora siempre con AmCache, Prefetch y los registros de eventos.
- ¿Cuál es la diferencia entre ShimCache y AmCache?
- El ShimCache se encuentra en HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache y almacena hasta 1.024 entradas con ruta + mtime. AmCache (Amcache.hve) es una base de datos independiente que registra programas instalados y archivos ejecutados recientemente con hashes SHA-1 y metadatos mucho más ricos. Ambos artefactos se complementan en las líneas de tiempo forenses.