Shimcache 与 Windows 取证博客

AppCompatCache 的二进制布局几乎在每个 Windows 版本都发生了变化。这是较旧格式 —— XP、Server 2003、Vista/2008、Windows 7 和 8 —— 的逐版本参考，以及识别它们的魔数。

会——而这正是它重要的原因。ShimCache 常常保留磁盘上已不存在的可执行文件条目。本文说明原因、它们能存活多久，以及如何把已删除文件的条目用作证据。

远程执行工具会在源主机和目标主机上都留下可识别的 ShimCache 痕迹。这是一份用 AppCompatCache 在 Windows 环境中重建横向移动的实用指南。

ShimCache 条目中的时间戳是文件的最后修改时间——而不是程序运行的时间。本文说明该值究竟是什么、为何会误导调查人员，以及如何正确使用它。

Prefetch 记录执行；ShimCache 记录 Windows 检查过某个文件。它们以不同的可靠性回答不同的问题。面向调查人员的直接对比。

ShimCache 可以被篡改 —— 但很少能干净地完成。本文梳理攻击者尝试清除或修改条目的常见做法，以及调查人员可以利用哪些取证迹象发现它们。

Windows ShimCache 只在关机时才会写入注册表，因此内存转储中往往含有磁盘配置单元里没有的条目。本指南介绍用 Volatility 与 Velociraptor 提取 ShimCache 的方法。

把 ShimCache、AmCache、Prefetch 与 SYSTEM 配置单元中的 BAM 数据融合起来的时间线，是大多数 Windows IR 报告的脊梁。本文从头到尾教你怎么拼出一份。

在威胁狩猎与事件响应中使用 Windows ShimCache 挖出可疑二进制文件的实用工作流 —— 看什么、如何分诊命中、以及如何加以印证。

勒索软件运营者通常会删除工具、加密并清理、重启以掩盖踪迹。在这之后仍能回答基本问题的少数证据之一就是 ShimCache。本文介绍如何使用它。

在离线取证中提取 Windows SYSTEM 注册表配置单元（连同事务日志）的实用指南 —— 来自死盘、运行中的系统，或是内存镜像。

四款开源工具主导着 ShimCache 的离线解析 —— 各有所长。一份实用对比，帮你按工作流挑选合适的那个。

对最有用的五类 Windows 程序执行证据（Prefetch、AmCache、ShimCache、UserAssist、BAM/DAM）的并列参考 —— 含可信度与适用边界。

ShimCache 条目经常被误当作二进制被执行的证据。事实更微妙 —— 本文解释缓存到底记录了什么，以及如何正确确认程序执行。

ShimCache 和 AmCache 都能为 Windows 程序执行提供证据，但二者记录的信息、写入时机和可信度各不相同。面向取证调查人员的实用对比。

Windows 的 ShimCache 仅存在于一个注册表值里，但只有在关机时才会落盘。理解它的存储路径与写入时机，会改变调查人员处理这些易失证据的方式。

实用地走一遍 Windows 10 与 11 上 AppCompatCache 的二进制布局 —— 头部字节、每条目的 magic、路径编码，以及解析器必须正确处理的偏移量。

Windows ShimCache 实用入门 —— 它存放在哪里、记录什么内容，以及取证调查人员如何用它证明程序曾经存在。