Analizza lo Shimcache di Windows nel browser.
Trascina una hive di registro SYSTEM ed estrai all'istante ogni voce di AppCompatCache — percorso del file, data di ultima modifica, formato del sistema — senza mai caricare il file.
Tutto avviene localmente. La tua hive non lascia mai questa pagina.
Forense dello Shimcache — domande frequenti
Risposte rapide alle domande più comuni quando si analizza l'AppCompatCache di Windows.
- Cos'è lo ShimCache di Windows (AppCompatCache)?
- Lo ShimCache, noto anche come AppCompatCache, è una funzionalità di Windows che tiene traccia degli eseguibili esaminati dal sistema operativo per la compatibilità delle applicazioni (shimming). Memorizza fino a 1.024 voci per sistema, comprese il percorso del file e la data di ultima modifica. Gli investigatori lo usano come prova che un binario sia esistito su una macchina — anche dopo l'eliminazione del file.
- Una voce dello ShimCache prova che un programma è stato eseguito?
- No. Lo ShimCache registra i file esaminati da Windows, il che spesso — ma non sempre — implica l'esecuzione. Su Windows 10 e 11 il flag di esecuzione nella cache è stato rimosso: per confermare un'esecuzione reale servono artefatti complementari (Prefetch, AmCache, log eventi Sicurezza o Sysmon).
- Perché la marca temporale dello ShimCache non corrisponde all'ora di esecuzione?
- La marca temporale mostrata è la data di ultima modifica del file ($STANDARD_INFORMATION), non l'ora di esecuzione. Un binario copiato senza modificare i timestamp mostra il proprio mtime originale. Considera lo ShimCache un artefatto di «esistenza di un programma», non una timeline di esecuzione.
- Le voci dello ShimCache possono essere eliminate o manomesse?
- Sì. Lo ShimCache risiede in memoria e viene scritto nella hive SYSTEM solo all'arresto: un riavvio forzato può far perdere le voci recenti. Strumenti anti-forensi e la modifica del registro possono anche svuotarlo o alterarlo. Conferma sempre con AmCache, Prefetch e i log eventi.
- Qual è la differenza tra ShimCache e AmCache?
- Lo ShimCache si trova in HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache e memorizza fino a 1.024 voci percorso + mtime. AmCache (Amcache.hve) è un database separato che traccia i programmi installati e i file recentemente eseguiti con hash SHA-1 e metadati molto più ricchi. I due artefatti si completano nelle timeline forensi.