在浏览器中分析 Windows Shimcache。
拖入 SYSTEM 注册表配置单元,即可立即提取所有 AppCompatCache 条目——文件路径、最后修改时间、系统格式——文件不会离开您的设备。
全部在本地运行,您的配置单元绝不会离开此页面。
Shimcache 取证 — 常见问题
调查人员在分析 Windows AppCompatCache 时最常遇到问题的简明解答。
- 什么是 Windows ShimCache(AppCompatCache)?
- ShimCache(又称 AppCompatCache)是 Windows 的一项功能,用于跟踪操作系统为应用程序兼容性(shim)所检查过的可执行文件。每个系统最多存储 1,024 条记录,包含文件路径与最后修改时间。即使文件已被删除,调查人员也可借此证明该二进制文件曾在主机上存在。
- ShimCache 条目能否证明某个程序被执行过?
- 不能。ShimCache 记录的是 Windows「检查过」的文件,这通常——但并非总是——意味着执行。在 Windows 10 / 11 中,缓存内的执行标志已被移除,因此需要 Prefetch、AmCache、安全或 Sysmon 事件日志等其他证据来确认程序是否真的运行过。
- 为什么 ShimCache 的时间戳与程序实际运行时间不一致?
- 显示的时间戳是文件的最后修改时间($STANDARD_INFORMATION),并非执行时间。不修改时间戳直接复制的可执行文件会保留其原始 mtime。请将 ShimCache 视为「程序存在过」的证据,而非执行时间线。
- ShimCache 条目可以被删除或篡改吗?
- 可以。ShimCache 保存在内存中,只有在系统关闭时才会写入 SYSTEM 配置单元;强制重启可能会丢失最近的条目。反取证工具与注册表编辑同样可以清空或修改它。请始终结合 AmCache、Prefetch 与事件日志进行交叉验证。
- ShimCache 与 AmCache 有什么区别?
- ShimCache 位于 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache,最多存储 1,024 条路径 + mtime 记录。AmCache(Amcache.hve)则是独立的数据库,记录已安装程序与近期执行过的文件,包含 SHA-1 哈希等更丰富的元数据。两类证据在取证时间线中互为补充。