Analise o Shimcache do Windows no seu navegador.

Solte uma hive de registro SYSTEM e extraia instantaneamente cada entrada do AppCompatCache — caminho do arquivo, data de modificação, formato do sistema — sem nunca enviar o arquivo.

Tudo é executado localmente. Sua hive nunca sai desta página.

Forense do Shimcache — perguntas frequentes

Respostas rápidas para as perguntas mais comuns ao analisar o AppCompatCache do Windows.

O que é o ShimCache do Windows (AppCompatCache)?
O ShimCache, também chamado AppCompatCache, é um recurso do Windows que rastreia os executáveis que o sistema operacional examinou para a compatibilidade de aplicativos (shimming). Armazena até 1.024 entradas por sistema, incluindo o caminho do arquivo e o carimbo de data/hora da última modificação. Investigadores o usam como evidência de que um binário existiu em uma máquina — mesmo após a exclusão do arquivo.
Uma entrada do ShimCache prova que um programa foi executado?
Não. O ShimCache registra arquivos que o Windows examinou, o que muitas vezes — mas nem sempre — implica execução. No Windows 10 e 11, o sinalizador de execução no cache foi removido: artefatos complementares (Prefetch, AmCache, logs de eventos de Segurança ou Sysmon) são necessários para confirmar uma execução real.
Por que o carimbo de hora do ShimCache não corresponde ao momento da execução?
O carimbo de hora exibido é a data de última modificação do arquivo ($STANDARD_INFORMATION), não o horário de execução. Um binário copiado sem alterar os timestamps mostrará seu mtime original. Trate o ShimCache como um artefato de «existência de programa», não uma linha do tempo de execução.
Entradas do ShimCache podem ser apagadas ou adulteradas?
Sim. O ShimCache fica em memória e só é gravado na hive SYSTEM no desligamento — uma reinicialização forçada pode perder entradas recentes. Ferramentas antiforenses e edição do registro também podem limpá-lo ou modificá-lo. Sempre corrobore com AmCache, Prefetch e logs de eventos.
Qual é a diferença entre ShimCache e AmCache?
O ShimCache fica em HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache e armazena até 1.024 entradas caminho + mtime. AmCache (Amcache.hve) é um banco de dados separado que rastreia programas instalados e arquivos executados recentemente com hashes SHA-1 e metadados muito mais ricos. Os dois artefatos se complementam em linhas do tempo forenses.