Shimcache と Windows フォレンジック ブログ

AppCompatCache のバイナリレイアウトは、ほぼすべての Windows リリースで変わりました。古いフォーマット — XP、Server 2003、Vista/2008、Windows 7、8 — のバージョン別リファレンスと、それらを識別するマジック値。

はい — そしてまさにそれが重要な理由です。ShimCache はディスク上にもう存在しない実行ファイルのエントリを日常的に保持します。なぜか、どれだけ残るか、削除済みファイルのエントリを証拠としてどう使うか。

リモート実行ツールは、ソースとデスティネーションの両ホストに識別可能な ShimCache の痕跡を残します。AppCompatCache を使って Windows 環境全体のラテラルムーブメントを再構築する実践ガイド。

ShimCache エントリのタイムスタンプはファイルの最終更新時刻であり、プログラムが実行された時刻ではありません。その値が正確には何か、なぜ調査員を誤らせるのか、そして正しく使う方法を解説します。

Prefetch は実行を記録し、ShimCache は Windows がファイルを検査したことを記録します。両者は異なる問いに異なる信頼性で答えます。調査員のための直接比較。

ShimCache は改ざん可能ですが、きれいに消せることは稀です。本稿では攻撃者がエントリを消去・改変するためにどんな手段を取るのか、調査員がそれを見抜くためにどんな痕跡を見ればよいのかを整理します。

Windows の ShimCache はシャットダウン時にしかレジストリへ書き出されないため、メモリダンプにはディスク上のハイブにはないエントリが含まれることがよくあります。Volatility と Velociraptor での抽出方法を解説します。

ShimCache、AmCache、Prefetch、SYSTEM ハイブの BAM データを束ねたタイムラインは、Windows の IR レポートの基盤です。本稿では端から端まで構築する手順を示します。

Windows の ShimCache を脅威ハンティングとインシデントレスポンスで活用するための実務的なワークフロー — 何を見るべきか、ヒットをどうトリアージするか、どう裏付けるか。

ランサムウェアの実行者は日常的にツールを削除し、暗号化と消去を行い、再起動して痕跡を覆い隠します。それでも基本的な問いに答え続けてくれる数少ないアーティファクトのひとつが ShimCache です。本稿はその使い方を解説します。

Windows SYSTEM レジストリハイブ（およびそのトランザクションログ）をオフライン・フォレンジック解析のために抽出する実践ガイド — デッドボックス、稼働中システム、あるいはメモリイメージから。

オフラインの ShimCache 解析には 4 つの主要ツールがあり、それぞれ得意分野が異なります。ワークフローに合わせた選び方の実用ガイド。

プログラム実行を立証する上で最も有用な 5 つの Windows アーティファクト（Prefetch、AmCache、ShimCache、UserAssist、BAM/DAM）を信頼性と限界とともに対比したリファレンス。

ShimCache のエントリは、バイナリが実行された証拠として誤解されがちです。実際はもっと微妙です — キャッシュが本当に記録するものと、実行を正しく確認する方法を解説します。

ShimCache と AmCache はどちらも Windows のプログラム実行に関する証拠を提示しますが、記録する内容・タイミング・信頼性は異なります。フォレンジック調査員のための実用的な比較。

Windows の ShimCache は単一のレジストリ値に存在しますが、シャットダウン時にのみ永続化されます。保存場所と書き込みタイミングを理解することは、揮発性証拠の扱い方そのものを変えます。

Windows 10 / 11 における AppCompatCache のバイナリレイアウトを実務的に解説 — ヘッダのバイト列、エントリごとのマジック、パスのエンコーディング、そしてパーサが正しく扱うべきオフセット。

Windows ShimCache の実践的入門 — どこに存在し、何を記録し、フォレンジック調査員がどのようにプログラムの存在を立証するのか。