Shimcache Parser

Shimcache Parser — Blog https://www.shimcacheparser.com/es/blog Latest from Blog es Tue, 26 May 2026 18:41:27 GMT Formatos ShimCache heredados: Windows XP, 2003, Vista, 7 y 8 https://www.shimcacheparser.com/es/blog/legacy-shimcache-formats https://www.shimcacheparser.com/es/blog/legacy-shimcache-formats La estructura binaria del AppCompatCache cambió en casi cada versión de Windows. Esta es una referencia por versión de los formatos antiguos — XP, Server 2003, Vista/2008, Windows 7 y 8 — y los valores mágicos que los identifican. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT ¿Registra el ShimCache los archivos eliminados? https://www.shimcacheparser.com/es/blog/shimcache-deleted-files https://www.shimcacheparser.com/es/blog/shimcache-deleted-files Sí — y por eso precisamente importa. El ShimCache retiene rutinariamente entradas de ejecutables que ya no existen en disco. Aquí está por qué, cuánto sobreviven y cómo usar las entradas de archivos eliminados como evidencia. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Detectar movimiento lateral con el ShimCache https://www.shimcacheparser.com/es/blog/shimcache-lateral-movement https://www.shimcacheparser.com/es/blog/shimcache-lateral-movement El herramental de ejecución remota deja una huella ShimCache reconocible tanto en el host origen como en el destino. Guía práctica para reconstruir el movimiento lateral en un parque Windows con el AppCompatCache. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Qué significa realmente la marca de tiempo del ShimCache (y qué no) https://www.shimcacheparser.com/es/blog/shimcache-timestamp-explained https://www.shimcacheparser.com/es/blog/shimcache-timestamp-explained La marca de tiempo de una entrada ShimCache es la fecha de última modificación del archivo — no cuándo se ejecutó el programa. Esto es exactamente qué es ese valor, por qué confunde a los investigadores y cómo usarlo correctamente. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT ShimCache vs Prefetch: ¿cuál prueba que un programa se ejecutó? https://www.shimcacheparser.com/es/blog/shimcache-vs-prefetch https://www.shimcacheparser.com/es/blog/shimcache-vs-prefetch Prefetch registra la ejecución; ShimCache registra que Windows examinó un archivo. Responden a preguntas distintas con fiabilidad distinta. Comparación directa para investigadores. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT ¿Pueden los atacantes borrar el ShimCache? Anti-forense y detección https://www.shimcacheparser.com/es/blog/shimcache-anti-forensics https://www.shimcacheparser.com/es/blog/shimcache-anti-forensics El ShimCache puede manipularse — pero rara vez de forma limpia. Este post cataloga cómo los atacantes intentan limpiar o modificar entradas, y las señales forenses que los investigadores pueden usar para detectarlo. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Extraer el ShimCache de un volcado de memoria https://www.shimcacheparser.com/es/blog/shimcache-from-memory-dump https://www.shimcacheparser.com/es/blog/shimcache-from-memory-dump Como el ShimCache de Windows solo se vuelca al registro al apagar, un volcado de memoria suele contener entradas que la colmena en disco no tiene. Esta guía cubre la extracción con Volatility y Velociraptor. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Construir una línea temporal de ejecución de programas a partir de una colmena SYSTEM https://www.shimcacheparser.com/es/blog/shimcache-incident-timeline https://www.shimcacheparser.com/es/blog/shimcache-incident-timeline Una línea temporal que fusiona ShimCache, AmCache, Prefetch y los datos BAM de la colmena SYSTEM es la columna vertebral de la mayoría de informes IR de Windows. Esta guía la monta de principio a fin. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Caza de malware con el ShimCache: un flujo de trabajo paso a paso https://www.shimcacheparser.com/es/blog/shimcache-malware-hunting https://www.shimcacheparser.com/es/blog/shimcache-malware-hunting Un flujo de trabajo práctico para usar el ShimCache de Windows en threat hunting y respuesta a incidentes — qué buscar, cómo triar los hits y cómo corroborarlos. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Usar el ShimCache en investigaciones de ransomware https://www.shimcacheparser.com/es/blog/shimcache-ransomware-investigation https://www.shimcacheparser.com/es/blog/shimcache-ransomware-investigation Los actores de ransomware suelen borrar sus herramientas, cifrar y limpiar, y reiniciar para encubrir huellas. El ShimCache es uno de los pocos artefactos que aún responde a las preguntas básicas después de eso. Aquí te explicamos cómo usarlo. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Cómo adquirir una colmena SYSTEM de Windows para el análisis offline del ShimCache https://www.shimcacheparser.com/es/blog/acquiring-system-hive https://www.shimcacheparser.com/es/blog/acquiring-system-hive Una guía práctica para extraer la colmena de registro SYSTEM (y sus logs de transacción) para análisis forense offline — desde un disco apagado, un sistema en marcha o una imagen de memoria. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Comparativa de parsers de ShimCache: Mandiant, Zimmerman, Velociraptor y esta herramienta https://www.shimcacheparser.com/es/blog/comparing-shimcache-parsers https://www.shimcacheparser.com/es/blog/comparing-shimcache-parsers Cuatro herramientas libres dominan el análisis offline del ShimCache — cada una con sus puntos fuertes. Comparativa práctica para escoger la adecuada según tu workflow. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Prefetch, AmCache, ShimCache: referencia rápida de artefactos de ejecución de programas https://www.shimcacheparser.com/es/blog/program-execution-artifacts-reference https://www.shimcacheparser.com/es/blog/program-execution-artifacts-reference Referencia lado a lado de los cinco artefactos de Windows más útiles para probar la ejecución de un programa — Prefetch, AmCache, ShimCache, UserAssist, BAM/DAM — con su fiabilidad y limitaciones. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ¿Demuestra el ShimCache que un programa se ejecutó? https://www.shimcacheparser.com/es/blog/shimcache-proof-of-execution https://www.shimcacheparser.com/es/blog/shimcache-proof-of-execution Una entrada del ShimCache se confunde con frecuencia con prueba de ejecución de un binario. La realidad es más matizada — esto es lo que el caché realmente registra y cómo confirmar la ejecución correctamente. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ShimCache vs AmCache: qué artefacto de Windows responde a qué pregunta https://www.shimcacheparser.com/es/blog/shimcache-vs-amcache https://www.shimcacheparser.com/es/blog/shimcache-vs-amcache ShimCache y AmCache aportan evidencia de ejecución de programas en Windows, pero registran cosas distintas, en momentos distintos, con fiabilidad distinta. Comparación práctica para investigadores forenses. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ¿Dónde se almacena el ShimCache y cuándo se escribe? https://www.shimcacheparser.com/es/blog/where-is-shimcache-stored https://www.shimcacheparser.com/es/blog/where-is-shimcache-stored El ShimCache de Windows reside en un único valor del registro pero solo se persiste al apagar. Entender su ruta de almacenamiento y el momento de escritura cambia cómo los investigadores tratan esta evidencia volátil. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Analizando el ShimCache: el formato binario de Windows 10 y 11 https://www.shimcacheparser.com/es/blog/windows-10-11-shimcache-format https://www.shimcacheparser.com/es/blog/windows-10-11-shimcache-format Recorrido práctico por el diseño binario del AppCompatCache de Windows 10 y 11 — bytes de cabecera, magic por entrada, codificación de la ruta y los offsets que un parser debe acertar. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Entendiendo el ShimCache de Windows (AppCompatCache) https://www.shimcacheparser.com/es/blog/welcome https://www.shimcacheparser.com/es/blog/welcome Una introducción práctica al ShimCache de Windows — dónde reside, qué registra y cómo los investigadores forenses lo usan para probar la existencia de un programa. Shimcache Parser Fri, 15 May 2026 00:00:00 GMT