Shimcache Parser

Shimcache Parser — Blog https://www.shimcacheparser.com/pt/blog Latest from Blog pt Tue, 26 May 2026 18:41:27 GMT Formatos ShimCache legados: Windows XP, 2003, Vista, 7 e 8 https://www.shimcacheparser.com/pt/blog/legacy-shimcache-formats https://www.shimcacheparser.com/pt/blog/legacy-shimcache-formats O layout binário do AppCompatCache mudou em quase toda versão do Windows. Esta é uma referência por versão dos formatos mais antigos — XP, Server 2003, Vista/2008, Windows 7 e 8 — e os valores mágicos que os identificam. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT O ShimCache registra arquivos excluídos? https://www.shimcacheparser.com/pt/blog/shimcache-deleted-files https://www.shimcacheparser.com/pt/blog/shimcache-deleted-files Sim — e é exatamente por isso que importa. O ShimCache rotineiramente retém entradas de executáveis que não existem mais em disco. Veja por quê, quanto tempo sobrevivem e como usar entradas de arquivos excluídos como evidência. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Detectar movimento lateral com o ShimCache https://www.shimcacheparser.com/pt/blog/shimcache-lateral-movement https://www.shimcacheparser.com/pt/blog/shimcache-lateral-movement Ferramentas de execução remota deixam uma pegada ShimCache reconhecível tanto no host origem quanto no destino. Guia prático para reconstruir movimento lateral num parque Windows com o AppCompatCache. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT O que a marca de tempo do ShimCache realmente significa (e o que não significa) https://www.shimcacheparser.com/pt/blog/shimcache-timestamp-explained https://www.shimcacheparser.com/pt/blog/shimcache-timestamp-explained A marca de tempo de uma entrada ShimCache é a data de última modificação do arquivo — não quando o programa foi executado. Veja exatamente o que é esse valor, por que confunde os investigadores e como usá-lo corretamente. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT ShimCache vs Prefetch: qual prova que um programa rodou? https://www.shimcacheparser.com/pt/blog/shimcache-vs-prefetch https://www.shimcacheparser.com/pt/blog/shimcache-vs-prefetch O Prefetch registra a execução; o ShimCache registra que o Windows examinou um arquivo. Eles respondem a perguntas diferentes com confiabilidade diferente. Comparação direta para investigadores. Shimcache Parser Tue, 19 May 2026 00:00:00 GMT Atacantes podem apagar o ShimCache? Anti-forense e detecção https://www.shimcacheparser.com/pt/blog/shimcache-anti-forensics https://www.shimcacheparser.com/pt/blog/shimcache-anti-forensics O ShimCache pode ser adulterado — mas raramente de forma limpa. Este post cataloga como atacantes tentam apagar ou modificar entradas, e os indícios forenses que investigadores podem usar para detectá-lo. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Extraindo o ShimCache de um dump de memória https://www.shimcacheparser.com/pt/blog/shimcache-from-memory-dump https://www.shimcacheparser.com/pt/blog/shimcache-from-memory-dump Como o ShimCache do Windows só é gravado no registro no desligamento, um dump de memória frequentemente carrega entradas que a hive em disco não tem. Este guia cobre a extração com Volatility e Velociraptor. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Construindo uma timeline de execução de programas a partir de uma hive SYSTEM https://www.shimcacheparser.com/pt/blog/shimcache-incident-timeline https://www.shimcacheparser.com/pt/blog/shimcache-incident-timeline Uma timeline que funde ShimCache, AmCache, Prefetch e os dados BAM da hive SYSTEM é a espinha dorsal da maioria dos relatórios IR de Windows. Este guia monta uma de ponta a ponta. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Caçando malware com o ShimCache: um fluxo passo a passo https://www.shimcacheparser.com/pt/blog/shimcache-malware-hunting https://www.shimcacheparser.com/pt/blog/shimcache-malware-hunting Um fluxo prático para usar o ShimCache do Windows no threat hunting e na resposta a incidentes — o que procurar, como triar os hits e como corroborá-los. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Usando o ShimCache em investigações de ransomware https://www.shimcacheparser.com/pt/blog/shimcache-ransomware-investigation https://www.shimcacheparser.com/pt/blog/shimcache-ransomware-investigation Atores de ransomware rotineiramente apagam suas ferramentas, criptografam e limpam, e reiniciam para cobrir rastros. O ShimCache é um dos poucos artefatos que ainda responde a perguntas básicas depois disso. Veja como usá-lo. Shimcache Parser Sun, 17 May 2026 00:00:00 GMT Como adquirir uma hive SYSTEM do Windows para análise offline do ShimCache https://www.shimcacheparser.com/pt/blog/acquiring-system-hive https://www.shimcacheparser.com/pt/blog/acquiring-system-hive Guia prático para extrair a hive de registro SYSTEM (e seus logs de transação) para análise forense offline — de um disco desligado, sistema em execução ou imagem de memória. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Comparando parsers de ShimCache: Mandiant, Zimmerman, Velociraptor e esta ferramenta https://www.shimcacheparser.com/pt/blog/comparing-shimcache-parsers https://www.shimcacheparser.com/pt/blog/comparing-shimcache-parsers Quatro ferramentas abertas dominam o parsing offline do ShimCache — cada uma com seus pontos fortes. Comparação prática para escolher a certa para seu workflow. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Prefetch, AmCache, ShimCache: referência rápida de artefatos de execução de programas https://www.shimcacheparser.com/pt/blog/program-execution-artifacts-reference https://www.shimcacheparser.com/pt/blog/program-execution-artifacts-reference Referência lado a lado dos cinco artefatos do Windows mais úteis para provar execução de programa — Prefetch, AmCache, ShimCache, UserAssist, BAM/DAM — com sua confiabilidade e limitações. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT O ShimCache prova que um programa foi executado? https://www.shimcacheparser.com/pt/blog/shimcache-proof-of-execution https://www.shimcacheparser.com/pt/blog/shimcache-proof-of-execution Uma entrada no ShimCache é confundida com regularidade com prova de execução de um binário. A verdade é mais sutil — aqui está o que o cache realmente registra e como confirmar a execução corretamente. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT ShimCache vs AmCache: qual artefato do Windows responde a qual pergunta https://www.shimcacheparser.com/pt/blog/shimcache-vs-amcache https://www.shimcacheparser.com/pt/blog/shimcache-vs-amcache ShimCache e AmCache fornecem evidências de execução de programas no Windows, mas registram coisas diferentes, em momentos diferentes, com confiabilidades diferentes. Comparação prática para investigadores forenses. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Onde o ShimCache fica armazenado e quando é escrito? https://www.shimcacheparser.com/pt/blog/where-is-shimcache-stored https://www.shimcacheparser.com/pt/blog/where-is-shimcache-stored O ShimCache do Windows vive em um único valor do registro mas só é persistido no desligamento. Entender o caminho de armazenamento e o momento da escrita muda como os investigadores tratam essas evidências voláteis. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Analisando o ShimCache: o formato binário do Windows 10 e 11 https://www.shimcacheparser.com/pt/blog/windows-10-11-shimcache-format https://www.shimcacheparser.com/pt/blog/windows-10-11-shimcache-format Passeio prático pelo layout binário do AppCompatCache no Windows 10 e 11 — bytes de cabeçalho, magic por entrada, codificação do caminho e os offsets que um parser precisa acertar. Shimcache Parser Sat, 16 May 2026 00:00:00 GMT Entendendo o ShimCache do Windows (AppCompatCache) https://www.shimcacheparser.com/pt/blog/welcome https://www.shimcacheparser.com/pt/blog/welcome Uma introdução prática ao ShimCache do Windows — onde reside, o que registra e como investigadores forenses o usam para provar a existência de um programa. Shimcache Parser Fri, 15 May 2026 00:00:00 GMT