https://www.shimcacheparser.com/ja/blog Latest from Blog ja Tue, 26 May 2026 18:41:27 GMT https://www.shimcacheparser.com/ja/blog/legacy-shimcache-formats https://www.shimcacheparser.com/ja/blog/legacy-shimcache-formats AppCompatCache のバイナリレイアウトは、ほぼすべての Windows リリースで変わりました。古いフォーマット — XP、Server 2003、Vista/2008、Windows 7、8 — のバージョン別リファレンスと、それらを識別するマジック値。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-deleted-files https://www.shimcacheparser.com/ja/blog/shimcache-deleted-files はい — そしてまさにそれが重要な理由です。ShimCache はディスク上にもう存在しない実行ファイルのエントリを日常的に保持します。なぜか、どれだけ残るか、削除済みファイルのエントリを証拠としてどう使うか。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-lateral-movement https://www.shimcacheparser.com/ja/blog/shimcache-lateral-movement リモート実行ツールは、ソースとデスティネーションの両ホストに識別可能な ShimCache の痕跡を残します。AppCompatCache を使って Windows 環境全体のラテラルムーブメントを再構築する実践ガイド。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-timestamp-explained https://www.shimcacheparser.com/ja/blog/shimcache-timestamp-explained ShimCache エントリのタイムスタンプはファイルの最終更新時刻であり、プログラムが実行された時刻ではありません。その値が正確には何か、なぜ調査員を誤らせるのか、そして正しく使う方法を解説します。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-vs-prefetch https://www.shimcacheparser.com/ja/blog/shimcache-vs-prefetch Prefetch は実行を記録し、ShimCache は Windows がファイルを検査したことを記録します。両者は異なる問いに異なる信頼性で答えます。調査員のための直接比較。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-anti-forensics https://www.shimcacheparser.com/ja/blog/shimcache-anti-forensics ShimCache は改ざん可能ですが、きれいに消せることは稀です。本稿では攻撃者がエントリを消去・改変するためにどんな手段を取るのか、調査員がそれを見抜くためにどんな痕跡を見ればよいのかを整理します。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-from-memory-dump https://www.shimcacheparser.com/ja/blog/shimcache-from-memory-dump Windows の ShimCache はシャットダウン時にしかレジストリへ書き出されないため、メモリダンプにはディスク上のハイブにはないエントリが含まれることがよくあります。Volatility と Velociraptor での抽出方法を解説します。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-incident-timeline https://www.shimcacheparser.com/ja/blog/shimcache-incident-timeline ShimCache、AmCache、Prefetch、SYSTEM ハイブの BAM データを束ねたタイムラインは、Windows の IR レポートの基盤です。本稿では端から端まで構築する手順を示します。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-malware-hunting https://www.shimcacheparser.com/ja/blog/shimcache-malware-hunting Windows の ShimCache を脅威ハンティングとインシデントレスポンスで活用するための実務的なワークフロー — 何を見るべきか、ヒットをどうトリアージするか、どう裏付けるか。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-ransomware-investigation https://www.shimcacheparser.com/ja/blog/shimcache-ransomware-investigation ランサムウェアの実行者は日常的にツールを削除し、暗号化と消去を行い、再起動して痕跡を覆い隠します。それでも基本的な問いに答え続けてくれる数少ないアーティファクトのひとつが ShimCache です。本稿はその使い方を解説します。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/acquiring-system-hive https://www.shimcacheparser.com/ja/blog/acquiring-system-hive Windows SYSTEM レジストリハイブ（およびそのトランザクションログ）をオフライン・フォレンジック解析のために抽出する実践ガイド — デッドボックス、稼働中システム、あるいはメモリイメージから。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/comparing-shimcache-parsers https://www.shimcacheparser.com/ja/blog/comparing-shimcache-parsers オフラインの ShimCache 解析には 4 つの主要ツールがあり、それぞれ得意分野が異なります。ワークフローに合わせた選び方の実用ガイド。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/program-execution-artifacts-reference https://www.shimcacheparser.com/ja/blog/program-execution-artifacts-reference プログラム実行を立証する上で最も有用な 5 つの Windows アーティファクト（Prefetch、AmCache、ShimCache、UserAssist、BAM/DAM）を信頼性と限界とともに対比したリファレンス。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-proof-of-execution https://www.shimcacheparser.com/ja/blog/shimcache-proof-of-execution ShimCache のエントリは、バイナリが実行された証拠として誤解されがちです。実際はもっと微妙です — キャッシュが本当に記録するものと、実行を正しく確認する方法を解説します。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/shimcache-vs-amcache https://www.shimcacheparser.com/ja/blog/shimcache-vs-amcache ShimCache と AmCache はどちらも Windows のプログラム実行に関する証拠を提示しますが、記録する内容・タイミング・信頼性は異なります。フォレンジック調査員のための実用的な比較。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/where-is-shimcache-stored https://www.shimcacheparser.com/ja/blog/where-is-shimcache-stored Windows の ShimCache は単一のレジストリ値に存在しますが、シャットダウン時にのみ永続化されます。保存場所と書き込みタイミングを理解することは、揮発性証拠の扱い方そのものを変えます。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/windows-10-11-shimcache-format https://www.shimcacheparser.com/ja/blog/windows-10-11-shimcache-format Windows 10 / 11 における AppCompatCache のバイナリレイアウトを実務的に解説 — ヘッダのバイト列、エントリごとのマジック、パスのエンコーディング、そしてパーサが正しく扱うべきオフセット。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/ja/blog/welcome https://www.shimcacheparser.com/ja/blog/welcome Windows ShimCache の実践的入門 — どこに存在し、何を記録し、フォレンジック調査員がどのようにプログラムの存在を立証するのか。 Shimcache Parser Fri, 15 May 2026 00:00:00 GMT