AppCompatCache et ShimCache sont-ils la même chose ?

Oui. 'AppCompatCache' est le nom technique (correspondant au nom de la valeur de registre) ; 'ShimCache' est le raccourci courant en DFIR. Les deux font référence à HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache.

Lequel est le plus utile en DFIR — Amcache ou AppCompatCache ?

Amcache dans la plupart des cas — il a les hashes SHA-1, les métadonnées d'éditeur, le ProgramId pour les pivots inter-hôtes et des enregistrements pilote / périphérique plus riches. AppCompatCache gagne sur les hôtes où l'appraiser est désactivé, dans les acquisitions uniquement en mémoire et sur les systèmes pré-Windows 10 où Amcache est plus clairsemé.

Pourquoi AppCompatCache ne contient-il que 1024 entrées ?

C'est un cache noyau de taille fixe avec éviction LRU. Les entrées plus anciennes sont supprimées pour faire place aux nouvelles touches du loader. Les hôtes très utilisés peuvent épuiser la limite de 1024 entrées en quelques jours.

Pourquoi AppCompatCache est-il obsolète sur un système live ?

Parce que le cache est maintenu en mémoire noyau en continu mais n'est vidé dans le registre qu'à l'arrêt propre. Sur un système live, l'AppCompatCache sur disque reflète l'état au moment du dernier redémarrage. Pour un AppCompatCache frais, capturez la mémoire et utilisez le plugin shimcachemem de Volatility.

Puis-je croiser Amcache et AppCompatCache ?

Oui — et vous devriez le faire. Un binaire dans AppCompatCache mais pas dans Amcache peut être un que l'appraiser n'a pas encore inventorié (dépôt intra-passe d'appraiser). Un binaire dans Amcache mais pas dans AppCompatCache peut être un qui était présent mais jamais chargé par le noyau. Les deux écarts sont informatifs.

Quelle est la différence entre Amcache et AppCompatCache ?

AppCompatCache (couramment appelé ShimCache) et Amcache sont des artefacts Windows différents qui enregistrent tous deux les binaires PE sur un hôte. Ils sont constamment confondus parce que les deux vivent dans l'infrastructure Application Compatibility — mais ce sont des mécanismes différents avec des limites différentes et des valeurs forensiques très différentes.

Les différences principales :

ShimCache est plus court, plus clairsemé, maintenu par le noyau et mis à jour par le loader. Amcache est plus long, plus riche, maintenu en mode utilisateur, et mis à jour par une tâche planifiée.

Côte à côte#

Propriété	AppCompatCache (ShimCache)	Amcache
Stockage	Ruche `SYSTEM`, valeur binaire unique	`Amcache.hve` autonome
Chemin de registre	`HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache`	`C:\Windows\AppCompat\Programs\Amcache.hve`
Maintenu par	Loader noyau	Tâche planifiée en mode utilisateur (appraiser)
Entrées max	1024 (éviction LRU)	Effectivement illimité
Enregistre le hash ?	Non	Oui (SHA-1 des 31 premiers Mio)
Enregistre éditeur / version ?	Non	Oui
Enregistre `ProgramId` ?	Non	Oui
Enregistre données pilote / périphérique ?	Non	Oui (clés séparées)
Persistance sur disque	À l'arrêt	Continue (avec journaux de transactions)
Disponible frais sur système live ?	Non (besoin d'arrêt ou de mémoire)	Oui
Disponible pré-Windows 10 1709 ?	Oui (depuis Windows XP)	Partiellement (schéma hérité uniquement)
Activé par défaut sur Server ?	Oui	Oui (mais cadence plus lente)

Pour une couverture complète, voir Amcache vs ShimCache.

Quand ShimCache gagne#

« Le loader a-t-il touché ce binaire ? » ShimCache enregistre les touches du loader ; Amcache enregistre la présence inventoriée par l'appraiser. Ce sont des signaux différents.
Acquisitions uniquement en mémoire. Le plugin shimcachemem de Volatility extrait ShimCache de la RAM proprement.
Hôtes pré-Windows 10. ShimCache est là depuis Windows XP.
Hôtes durcis avec l'appraiser désactivé. ShimCache est maintenu par le noyau ; il persiste même quand l'appraiser est désactivé.

Quand Amcache gagne#

Pivots de hash. ShimCache n'a pas de hash ; Amcache a SHA-1.
Chasses inter-hôtes. ShimCache n'a pas de ProgramId ni de hash — pivots inter-hôtes impossibles. Amcache a les deux.
Preuves de pilote / périphérique. ShimCache couvre uniquement le PE en mode utilisateur. Amcache a des schémas dédiés pour les pilotes et périphériques.
Triage sur un système live. Amcache est à jour sur disque ; ShimCache est obsolète jusqu'au redémarrage.

Quand vous devriez utiliser les deux#

Toujours. Les deux artefacts se corroborent mutuellement :

Un binaire dans les deux → le loader l'a touché ET l'appraiser l'a enregistré. Conclusion forte « ceci était présent et utilisé ».
Un binaire dans ShimCache uniquement → le loader l'a touché mais l'appraiser ne l'a pas encore inventorié, OU le fichier vivait dans un chemin que l'appraiser ne scanne pas, OU l'appraiser est désactivé.
Un binaire dans Amcache uniquement → présent et inventorié mais le loader ne l'a pas touché (dans la fenêtre actuelle de 1024 ShimCache), OU ShimCache a été effacé ou a tourné.

Les deux absents sur un hôte où vous attendriez un binaire = le signal « ceci ne s'est jamais produit » le plus fort que vous obtiendrez de ces deux artefacts. Pour une preuve d'exécution, associez avec Prefetch.

Voir aussi#

Référence complète Amcache
Amcache vs ShimCache — la comparaison complète.
Glossaire ShimCache.
Parsing AppCompatCache avec l'outil de Zimmerman.