https://www.shimcacheparser.com/fr/blog Latest from Blog fr Tue, 26 May 2026 18:41:27 GMT https://www.shimcacheparser.com/fr/blog/legacy-shimcache-formats https://www.shimcacheparser.com/fr/blog/legacy-shimcache-formats La structure binaire de l'AppCompatCache a changé à presque chaque version de Windows. Voici une référence par version des anciens formats — XP, Server 2003, Vista/2008, Windows 7 et 8 — et les valeurs magiques qui les identifient. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-deleted-files https://www.shimcacheparser.com/fr/blog/shimcache-deleted-files Oui — et c'est précisément pour cela qu'il compte. Le ShimCache conserve régulièrement des entrées pour des exécutables qui n'existent plus sur disque. Voici pourquoi, combien de temps elles survivent, et comment les utiliser comme preuve. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-lateral-movement https://www.shimcacheparser.com/fr/blog/shimcache-lateral-movement L'outillage d'exécution à distance laisse une empreinte ShimCache reconnaissable sur les hôtes source et destination. Guide pratique pour reconstituer un déplacement latéral à travers un parc Windows avec l'AppCompatCache. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-timestamp-explained https://www.shimcacheparser.com/fr/blog/shimcache-timestamp-explained L'horodatage d'une entrée ShimCache est la date de dernière modification du fichier — pas l'heure d'exécution du programme. Voici exactement ce que vaut cette valeur, pourquoi elle trompe les enquêteurs, et comment l'utiliser correctement. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-vs-prefetch https://www.shimcacheparser.com/fr/blog/shimcache-vs-prefetch Le Prefetch enregistre l'exécution ; le ShimCache enregistre que Windows a examiné un fichier. Ils répondent à des questions différentes avec une fiabilité différente. Comparaison directe pour les enquêteurs. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-anti-forensics https://www.shimcacheparser.com/fr/blog/shimcache-anti-forensics Le ShimCache peut être altéré — mais rarement proprement. Ce billet catalogue les tentatives des attaquants pour effacer ou modifier les entrées, et les indices forensiques que les enquêteurs peuvent utiliser pour les repérer. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-from-memory-dump https://www.shimcacheparser.com/fr/blog/shimcache-from-memory-dump Parce que le ShimCache Windows n'est flushé dans le registre qu'à l'arrêt, un dump mémoire contient souvent des entrées que la ruche sur disque n'a pas. Ce guide couvre l'extraction avec Volatility et Velociraptor. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-incident-timeline https://www.shimcacheparser.com/fr/blog/shimcache-incident-timeline Une chronologie qui fusionne ShimCache, AmCache, Prefetch et les données BAM de la ruche SYSTEM est l'ossature de la plupart des rapports IR Windows. Ce guide montre comment en assembler une de bout en bout. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-malware-hunting https://www.shimcacheparser.com/fr/blog/shimcache-malware-hunting Un workflow concret pour utiliser le ShimCache Windows afin de faire ressortir les binaires suspects en threat hunting et en réponse à incident — quoi regarder, comment trier les hits et comment les corroborer. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-ransomware-investigation https://www.shimcacheparser.com/fr/blog/shimcache-ransomware-investigation Les opérateurs de ransomwares suppriment leurs outils, chiffrent puis effacent, et redémarrent pour effacer les traces. Le ShimCache est l'un des rares artefacts qui répond encore aux questions basiques après cela. Voici comment l'utiliser. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/acquiring-system-hive https://www.shimcacheparser.com/fr/blog/acquiring-system-hive Guide pratique pour extraire la ruche de registre SYSTEM (et ses journaux de transaction) en vue d'une analyse forensique hors ligne — depuis un disque dead-box, un système en marche, ou une image mémoire. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/comparing-shimcache-parsers https://www.shimcacheparser.com/fr/blog/comparing-shimcache-parsers Quatre outils ouverts dominent l'analyse hors ligne du ShimCache — chacun a ses points forts. Comparaison pratique pour choisir le bon selon votre workflow. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/program-execution-artifacts-reference https://www.shimcacheparser.com/fr/blog/program-execution-artifacts-reference Référence côte à côte des cinq artefacts Windows les plus utiles pour prouver l'exécution d'un programme — Prefetch, AmCache, ShimCache, UserAssist, BAM/DAM — avec leur fiabilité et leurs limites. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-proof-of-execution https://www.shimcacheparser.com/fr/blog/shimcache-proof-of-execution Une entrée ShimCache est régulièrement prise à tort pour une preuve d'exécution d'un binaire. La réalité est plus nuancée — voici ce que le cache enregistre vraiment, et comment confirmer l'exécution correctement. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/shimcache-vs-amcache https://www.shimcacheparser.com/fr/blog/shimcache-vs-amcache ShimCache et AmCache fournissent tous deux des preuves d'exécution de programmes sur Windows, mais enregistrent des choses différentes, à des moments différents, avec une fiabilité différente. Comparaison pratique pour les enquêteurs forensiques. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/where-is-shimcache-stored https://www.shimcacheparser.com/fr/blog/where-is-shimcache-stored Le ShimCache Windows vit dans une seule valeur de registre mais n'est persisté qu'à l'arrêt. Comprendre son chemin de stockage et la temporisation d'écriture change la manière dont les enquêteurs traitent cette preuve volatile. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/windows-10-11-shimcache-format https://www.shimcacheparser.com/fr/blog/windows-10-11-shimcache-format Parcours pratique de la disposition binaire de l'AppCompatCache sous Windows 10 et 11 — octets d'en-tête, magic par entrée, encodage du chemin et offsets qu'un parser doit traiter correctement. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/fr/blog/welcome https://www.shimcacheparser.com/fr/blog/welcome Une introduction pratique au ShimCache Windows — où il vit, ce qu'il enregistre, et comment les enquêteurs forensiques s'en servent pour prouver l'existence d'un programme. Shimcache Parser Fri, 15 May 2026 00:00:00 GMT