ブラウザで Windows Shimcache を解析。
SYSTEM レジストリハイブをドロップするだけで、AppCompatCache の各エントリ(ファイルパス、最終更新時刻、システム形式)をその場で抽出します。ファイルは一切アップロードされません。
すべてローカルで動作します。ハイブはこのページから外に出ません。
Shimcache フォレンジック — よくある質問
Windows AppCompatCache を解析する際に調査員が抱きがちな疑問への手短な回答です。
- Windows の ShimCache(AppCompatCache)とは何ですか?
- ShimCache(別名 AppCompatCache)は、Windows がアプリケーション互換性のために検査した実行ファイルを記録する仕組みです。1 システムあたり最大 1,024 件のエントリを保持し、ファイルパスと最終更新時刻を含みます。ファイルが削除された後でも、その実行ファイルがマシン上に存在したことの証拠として捜査員が利用します。
- ShimCache のエントリは、プログラムが実行された証拠になりますか?
- いいえ。ShimCache は Windows が「検査した」ファイルを記録するもので、多くの場合は実行を意味しますが、必ずしもそうではありません。Windows 10 / 11 ではキャッシュ内の実行フラグが廃止されており、実際の実行を裏付けるには Prefetch、AmCache、Security または Sysmon のイベントログなどの補助的なアーティファクトが必要です。
- なぜ ShimCache のタイムスタンプは実行時刻と一致しないのですか?
- 表示されるタイムスタンプはファイルの最終更新時刻($STANDARD_INFORMATION)であり、実行時刻ではありません。タイムスタンプを変更せずにコピーされた実行ファイルは、元の mtime をそのまま表示します。ShimCache は「実行のタイムライン」ではなく「プログラムが存在した痕跡」として扱うべきです。
- ShimCache のエントリは削除や改ざんが可能ですか?
- はい。ShimCache はメモリ上に保持され、シャットダウン時にのみ SYSTEM ハイブへ書き出されます。強制再起動を行うと最新のエントリが失われることがあります。アンチフォレンジックツールやレジストリ編集によってもクリア・改ざんが可能です。必ず AmCache・Prefetch・イベントログなど他のアーティファクトと突き合わせて検証してください。
- ShimCache と AmCache の違いは何ですか?
- ShimCache は HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache に保存され、最大 1,024 件のパス + mtime のエントリを保持します。一方 AmCache(Amcache.hve)は、インストール済みプログラムや最近実行されたファイルを SHA-1 ハッシュなどの豊富なメタデータと共に記録する独立したデータベースです。両者を組み合わせることで、より精緻なフォレンジック・タイムラインを構築できます。