Shimcache Parser

Shimcache Parser — Blog https://www.shimcacheparser.com/it/blog Latest from Blog it Tue, 26 May 2026 18:41:27 GMT Formati ShimCache legacy: Windows XP, 2003, Vista, 7 e 8 https://www.shimcacheparser.com/it/blog/legacy-shimcache-formats https://www.shimcacheparser.com/it/blog/legacy-shimcache-formats Il layout binario dell'AppCompatCache è cambiato a quasi ogni versione di Windows. Ecco un riferimento per versione dei formati più vecchi — XP, Server 2003, Vista/2008, Windows 7 e 8 — e i valori magici che li identificano. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Lo ShimCache registra i file eliminati? https://www.shimcacheparser.com/it/blog/shimcache-deleted-files https://www.shimcacheparser.com/it/blog/shimcache-deleted-files Sì — ed è esattamente per questo che conta. Lo ShimCache conserva regolarmente voci per eseguibili che non esistono più su disco. Ecco perché, quanto sopravvivono e come usare le voci di file eliminati come prova. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Rilevare il movimento laterale con lo ShimCache https://www.shimcacheparser.com/it/blog/shimcache-lateral-movement https://www.shimcacheparser.com/it/blog/shimcache-lateral-movement Gli strumenti di esecuzione remota lasciano un'impronta ShimCache riconoscibile sia sull'host sorgente sia su quello destinazione. Guida pratica per ricostruire il movimento laterale in un parco Windows con l'AppCompatCache. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Cosa significa davvero la marca temporale dello ShimCache (e cosa no) https://www.shimcacheparser.com/it/blog/shimcache-timestamp-explained https://www.shimcacheparser.com/it/blog/shimcache-timestamp-explained La marca temporale di una voce ShimCache è la data di ultima modifica del file — non quando il programma è stato eseguito. Ecco esattamente cos'è quel valore, perché trae in inganno gli investigatori e come usarlo correttamente. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT ShimCache vs Prefetch: quale prova che un programma è stato eseguito? https://www.shimcacheparser.com/it/blog/shimcache-vs-prefetch https://www.shimcacheparser.com/it/blog/shimcache-vs-prefetch Il Prefetch registra l'esecuzione; lo ShimCache registra che Windows ha esaminato un file. Rispondono a domande diverse con affidabilità diversa. Confronto diretto per gli investigatori. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Gli attaccanti possono cancellare lo ShimCache? Anti-forense e rilevamento https://www.shimcacheparser.com/it/blog/shimcache-anti-forensics https://www.shimcacheparser.com/it/blog/shimcache-anti-forensics Lo ShimCache può essere manomesso — ma raramente in modo pulito. Questo post cataloga ciò che gli attaccanti tentano e i segnali forensi che gli investigatori possono usare per individuarlo. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Estrarre lo ShimCache da un dump di memoria https://www.shimcacheparser.com/it/blog/shimcache-from-memory-dump https://www.shimcacheparser.com/it/blog/shimcache-from-memory-dump Poiché lo ShimCache di Windows viene flushato nel registro solo allo spegnimento, un dump di memoria spesso contiene voci che la hive su disco non ha. Questa guida copre l'estrazione con Volatility e Velociraptor. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Costruire una timeline di esecuzione di programmi da una hive SYSTEM https://www.shimcacheparser.com/it/blog/shimcache-incident-timeline https://www.shimcacheparser.com/it/blog/shimcache-incident-timeline Una timeline che fonde ShimCache, AmCache, Prefetch e i dati BAM della hive SYSTEM è la spina dorsale della maggior parte dei report IR Windows. Questa guida la assembla dall'inizio alla fine. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Cacciare malware con lo ShimCache: workflow passo dopo passo https://www.shimcacheparser.com/it/blog/shimcache-malware-hunting https://www.shimcacheparser.com/it/blog/shimcache-malware-hunting Un workflow pratico per usare lo ShimCache di Windows nel threat hunting e nella incident response — cosa cercare, come triare gli hit e come corroborarli. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Usare lo ShimCache nelle indagini sui ransomware https://www.shimcacheparser.com/it/blog/shimcache-ransomware-investigation https://www.shimcacheparser.com/it/blog/shimcache-ransomware-investigation Gli operatori ransomware cancellano sistematicamente i loro tool, cifrano e ripuliscono, e riavviano per coprire le tracce. Lo ShimCache è uno dei pochi artefatti che continua a rispondere alle domande basilari dopo tutto questo. Ecco come usarlo. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Come acquisire una hive SYSTEM di Windows per l'analisi offline dello ShimCache https://www.shimcacheparser.com/it/blog/acquiring-system-hive https://www.shimcacheparser.com/it/blog/acquiring-system-hive Guida pratica per estrarre la hive di registro SYSTEM (e i suoi log di transazione) per l'analisi forense offline — da un disco spento, da un sistema in esecuzione o da un'immagine di memoria. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Confronto tra parser dello ShimCache: Mandiant, Zimmerman, Velociraptor e questo strumento https://www.shimcacheparser.com/it/blog/comparing-shimcache-parsers https://www.shimcacheparser.com/it/blog/comparing-shimcache-parsers Quattro strumenti aperti dominano il parsing offline dello ShimCache — ciascuno con i suoi punti forti. Confronto pratico per scegliere quello giusto per il tuo workflow. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Prefetch, AmCache, ShimCache: riferimento rapido per le prove di esecuzione dei programmi https://www.shimcacheparser.com/it/blog/program-execution-artifacts-reference https://www.shimcacheparser.com/it/blog/program-execution-artifacts-reference Riferimento affiancato dei cinque artefatti Windows più utili per provare l'esecuzione di un programma — Prefetch, AmCache, ShimCache, UserAssist, BAM/DAM — con la loro affidabilità e i loro limiti. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Lo ShimCache prova che un programma è stato eseguito? https://www.shimcacheparser.com/it/blog/shimcache-proof-of-execution https://www.shimcacheparser.com/it/blog/shimcache-proof-of-execution Una voce nello ShimCache viene regolarmente scambiata per prova dell'esecuzione di un binario. La verità è più sfumata — ecco cosa registra davvero la cache e come confermare correttamente l'esecuzione. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ShimCache vs AmCache: quale artefatto di Windows risponde a quale domanda https://www.shimcacheparser.com/it/blog/shimcache-vs-amcache https://www.shimcacheparser.com/it/blog/shimcache-vs-amcache ShimCache e AmCache forniscono entrambi prove di esecuzione di programmi su Windows, ma registrano cose diverse, in momenti diversi, con affidabilità diversa. Confronto pratico per gli investigatori forensi. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Dove è memorizzato lo ShimCache e quando viene scritto? https://www.shimcacheparser.com/it/blog/where-is-shimcache-stored https://www.shimcacheparser.com/it/blog/where-is-shimcache-stored Lo ShimCache di Windows vive in un singolo valore del registro ma viene persistito solo allo spegnimento. Capire il suo percorso di archiviazione e i tempi di scrittura cambia il modo in cui gli investigatori trattano queste prove volatili. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Analizzare lo ShimCache: il formato binario Windows 10 e 11 https://www.shimcacheparser.com/it/blog/windows-10-11-shimcache-format https://www.shimcacheparser.com/it/blog/windows-10-11-shimcache-format Una panoramica pratica del layout binario dell'AppCompatCache su Windows 10 e 11 — byte di intestazione, magic per voce, codifica del percorso e gli offset che un parser deve gestire correttamente. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Capire lo ShimCache di Windows (AppCompatCache) https://www.shimcacheparser.com/it/blog/welcome https://www.shimcacheparser.com/it/blog/welcome Un'introduzione pratica allo ShimCache di Windows: dove risiede, cosa registra e come gli investigatori forensi lo usano per dimostrare l'esistenza di un programma. Shimcache Parser Fri, 15 May 2026 00:00:00 GMT