Analysez le Shimcache Windows dans votre navigateur.
Déposez une ruche de registre SYSTEM et extrayez instantanément chaque entrée AppCompatCache — chemin du fichier, date de modification, format du système — sans jamais transférer le fichier.
Tout s'exécute localement. Votre ruche ne quitte jamais cette page.
Forensique du Shimcache — questions fréquentes
Réponses rapides aux questions que se posent les enquêteurs lors de l'analyse de l'AppCompatCache Windows.
- Qu'est-ce que le ShimCache Windows (AppCompatCache) ?
- Le ShimCache, aussi appelé AppCompatCache, est une fonctionnalité Windows qui suit les exécutables que le système d'exploitation a examinés pour la compatibilité applicative (shimming). Il stocke jusqu'à 1 024 entrées par machine, incluant le chemin du fichier et l'horodatage de dernière modification. Les enquêteurs s'appuient dessus comme preuve qu'un binaire a existé sur une machine — même après la suppression du fichier.
- Une entrée ShimCache prouve-t-elle l'exécution d'un programme ?
- Non. Le ShimCache enregistre les fichiers que Windows a examinés, ce qui implique souvent — mais pas toujours — une exécution. Sur Windows 10 et 11, le drapeau d'exécution dans le cache a été supprimé ; il faut donc corroborer avec d'autres artefacts (Prefetch, AmCache, journaux d'événements Sécurité ou Sysmon) pour confirmer une exécution réelle.
- Pourquoi l'horodatage du ShimCache ne correspond-il pas à l'heure d'exécution ?
- L'horodatage affiché est la date de dernière modification du fichier ($STANDARD_INFORMATION), pas l'heure d'exécution. Un binaire copié sans modification d'horodatage affichera son mtime d'origine. Le ShimCache est un artefact d'« existence de programme », pas une chronologie d'exécution.
- Les entrées du ShimCache peuvent-elles être supprimées ou altérées ?
- Oui. Le ShimCache est conservé en mémoire et n'est écrit dans la ruche SYSTEM qu'à l'arrêt ; un redémarrage à froid peut donc perdre les entrées récentes. Des outils anti-forensiques et l'édition du registre peuvent aussi le vider ou le modifier. Corroborez toujours avec AmCache, Prefetch et les journaux d'événements.
- Quelle est la différence entre ShimCache et AmCache ?
- Le ShimCache se trouve dans HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache et stocke jusqu'à 1 024 entrées chemin + mtime. AmCache (Amcache.hve) est une base distincte qui enregistre les programmes installés et les fichiers récemment exécutés avec des empreintes SHA-1 et des métadonnées bien plus riches. Les deux artefacts se complètent dans les chronologies forensiques.