https://www.shimcacheparser.com/zh/blog Latest from Blog zh Tue, 26 May 2026 18:41:27 GMT https://www.shimcacheparser.com/zh/blog/legacy-shimcache-formats https://www.shimcacheparser.com/zh/blog/legacy-shimcache-formats AppCompatCache 的二进制布局几乎在每个 Windows 版本都发生了变化。这是较旧格式 —— XP、Server 2003、Vista/2008、Windows 7 和 8 —— 的逐版本参考，以及识别它们的魔数。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-deleted-files https://www.shimcacheparser.com/zh/blog/shimcache-deleted-files 会——而这正是它重要的原因。ShimCache 常常保留磁盘上已不存在的可执行文件条目。本文说明原因、它们能存活多久，以及如何把已删除文件的条目用作证据。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-lateral-movement https://www.shimcacheparser.com/zh/blog/shimcache-lateral-movement 远程执行工具会在源主机和目标主机上都留下可识别的 ShimCache 痕迹。这是一份用 AppCompatCache 在 Windows 环境中重建横向移动的实用指南。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-timestamp-explained https://www.shimcacheparser.com/zh/blog/shimcache-timestamp-explained ShimCache 条目中的时间戳是文件的最后修改时间——而不是程序运行的时间。本文说明该值究竟是什么、为何会误导调查人员，以及如何正确使用它。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-vs-prefetch https://www.shimcacheparser.com/zh/blog/shimcache-vs-prefetch Prefetch 记录执行；ShimCache 记录 Windows 检查过某个文件。它们以不同的可靠性回答不同的问题。面向调查人员的直接对比。 Shimcache Parser Tue, 19 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-anti-forensics https://www.shimcacheparser.com/zh/blog/shimcache-anti-forensics ShimCache 可以被篡改 —— 但很少能干净地完成。本文梳理攻击者尝试清除或修改条目的常见做法，以及调查人员可以利用哪些取证迹象发现它们。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-from-memory-dump https://www.shimcacheparser.com/zh/blog/shimcache-from-memory-dump Windows ShimCache 只在关机时才会写入注册表，因此内存转储中往往含有磁盘配置单元里没有的条目。本指南介绍用 Volatility 与 Velociraptor 提取 ShimCache 的方法。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-incident-timeline https://www.shimcacheparser.com/zh/blog/shimcache-incident-timeline 把 ShimCache、AmCache、Prefetch 与 SYSTEM 配置单元中的 BAM 数据融合起来的时间线，是大多数 Windows IR 报告的脊梁。本文从头到尾教你怎么拼出一份。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-malware-hunting https://www.shimcacheparser.com/zh/blog/shimcache-malware-hunting 在威胁狩猎与事件响应中使用 Windows ShimCache 挖出可疑二进制文件的实用工作流 —— 看什么、如何分诊命中、以及如何加以印证。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-ransomware-investigation https://www.shimcacheparser.com/zh/blog/shimcache-ransomware-investigation 勒索软件运营者通常会删除工具、加密并清理、重启以掩盖踪迹。在这之后仍能回答基本问题的少数证据之一就是 ShimCache。本文介绍如何使用它。 Shimcache Parser Sun, 17 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/acquiring-system-hive https://www.shimcacheparser.com/zh/blog/acquiring-system-hive 在离线取证中提取 Windows SYSTEM 注册表配置单元（连同事务日志）的实用指南 —— 来自死盘、运行中的系统，或是内存镜像。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/comparing-shimcache-parsers https://www.shimcacheparser.com/zh/blog/comparing-shimcache-parsers 四款开源工具主导着 ShimCache 的离线解析 —— 各有所长。一份实用对比，帮你按工作流挑选合适的那个。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/program-execution-artifacts-reference https://www.shimcacheparser.com/zh/blog/program-execution-artifacts-reference 对最有用的五类 Windows 程序执行证据（Prefetch、AmCache、ShimCache、UserAssist、BAM/DAM）的并列参考 —— 含可信度与适用边界。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-proof-of-execution https://www.shimcacheparser.com/zh/blog/shimcache-proof-of-execution ShimCache 条目经常被误当作二进制被执行的证据。事实更微妙 —— 本文解释缓存到底记录了什么，以及如何正确确认程序执行。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/shimcache-vs-amcache https://www.shimcacheparser.com/zh/blog/shimcache-vs-amcache ShimCache 和 AmCache 都能为 Windows 程序执行提供证据，但二者记录的信息、写入时机和可信度各不相同。面向取证调查人员的实用对比。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/where-is-shimcache-stored https://www.shimcacheparser.com/zh/blog/where-is-shimcache-stored Windows 的 ShimCache 仅存在于一个注册表值里，但只有在关机时才会落盘。理解它的存储路径与写入时机，会改变调查人员处理这些易失证据的方式。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/windows-10-11-shimcache-format https://www.shimcacheparser.com/zh/blog/windows-10-11-shimcache-format 实用地走一遍 Windows 10 与 11 上 AppCompatCache 的二进制布局 —— 头部字节、每条目的 magic、路径编码，以及解析器必须正确处理的偏移量。 Shimcache Parser Sat, 16 May 2026 00:00:00 GMT https://www.shimcacheparser.com/zh/blog/welcome https://www.shimcacheparser.com/zh/blog/welcome Windows ShimCache 实用入门 —— 它存放在哪里、记录什么内容，以及取证调查人员如何用它证明程序曾经存在。 Shimcache Parser Fri, 15 May 2026 00:00:00 GMT