Was ist ShimCache (AppCompatCache)? (Glossar)
ShimCache (auch AppCompatCache genannt) ist ein kernelseitig
gepflegter binärer Cache in der SYSTEM-Registry-Hive, der bis
zu 1024 PE-Binärprogramme aufzeichnet, die der Windows-Loader
berührt hat, mit Dateipfad, einem Änderungs-Zeitstempel und einem
Ausführungs-Flag.
Es ist älter als Amcache, kleiner als Amcache und beantwortet eine andere, aber überlappende Frage. Die beiden zu verwechseln führt zu falschen Ergebnissen.
ShimCache vs. Amcache#
| ShimCache | Amcache | |
|---|---|---|
| Speicherung | SYSTEM-Hive, binärer Wert |
Amcache.hve |
| Pfleger | Kernel-Loader | Geplanter Task im User-Mode |
| Max. Einträge | 1024 | Praktisch unbegrenzt |
| Hash aufgezeichnet? | Nein | Ja (SHA-1) |
| Herausgeber / Version aufgezeichnet? | Nein | Ja |
ProgramId aufgezeichnet? |
Nein | Ja |
| Frisch auf Live-System? | Nein (Herunterfahren nötig) | Ja |
| Verfügbar vor Windows 8 | Ja | Nein (Amcache ist Win 8+) |
| Aktualisiert durch | Loader-Berührungen | Appraiser-Scans |
Für vollständige Abdeckung siehe Amcache vs ShimCache.
Wann ShimCache gewinnt#
- Kernel-Berührungs-Beweise. ShimCache zeichnet Loader- Berührungen aggressiver auf, als Amcache Präsenz aufzeichnet.
- Nur-Speicher-Akquisen. Das
shimcachemem-Plugin von Volatility extrahiert ShimCache sauber aus dem RAM. - Gehärtete Hosts mit deaktiviertem Appraiser. ShimCache wird vom Kernel gepflegt; es bleibt erhalten, auch wenn der Appraiser aus ist.
- Vor Windows 10 1709. Das moderne Amcache-Schema kam erst in 1709; ShimCache gibt es seit Windows XP.
Wann Amcache gewinnt#
- Hashes für VirusTotal. ShimCache hat keinen Hash. Amcache hat SHA-1.
- Cross-Host-Suchen. ShimCache hat keine ProgramId, keinen Hash, nur Pfade.
- Treiber-/Geräte-Beweise. ShimCache ist PE-only. Amcache hat separate Treiber- und Geräte-Schemata.
- Aufbewahrung über lange Zeiträume. ShimCache rollt bei 1024 Einträgen um; Amcache hält Tausende.
Für den breiteren Vergleich der Ausführungsbeweise siehe Amcache vs Prefetch.
Verwandte Begriffe#
- Amcache.hve — das moderne Inventar-Artefakt.
- Prefetch — das Ausführungsbeweis- Artefakt.
- InventoryApplicationFile — das Amcache-Äquivalent zum Hauptblob von ShimCache.
Verwandte Beiträge
- Amcache vs ShimCache: wann welches Artefakt gewinnt
ShimCache und Amcache zeichnen beide Binärprogramme auf, die einen Windows-Host berührt haben. Es sind unterschiedliche Mechanismen mit unterschiedlichen Grenzen — hier ist, wann man was verwendet und was ihre Überschneidung tatsächlich beweist.
- Was ist der Unterschied zwischen Amcache und AppCompatCache?
Amcache ist eine reichhaltigere, vom Appraiser gepflegte Registry-Hive mit Hashes und Metadaten. AppCompatCache (ShimCache) ist ein kleineres, loadergepflegtes Registry-Blob nur mit Pfaden und Zeitstempeln.
- Was ist SRUM (SRUDB.dat)? (Glossar)
SRUM ist der Windows System Resource Usage Monitor — eine ESE-Datenbank, die pro Anwendung CPU-, Netzwerk- und I/O-Nutzung in Stunden-Buckets über 30-60 Tage aufzeichnet.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Dieselbe ProgramId auf verschiedenen Hosts bedeutet dieselbe Anwendungsinstallation.