¿Son AppCompatCache y ShimCache lo mismo?

Sí. 'AppCompatCache' es el nombre técnico (que coincide con el nombre del valor del registro); 'ShimCache' es la abreviatura común de DFIR. Ambos se refieren a HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache.

¿Cuál es más útil en DFIR — Amcache o AppCompatCache?

Amcache para la mayoría de los casos — tiene hashes SHA-1, metadatos del publisher, ProgramId para pivotes inter-host y registros más ricos de driver / dispositivo. AppCompatCache gana en hosts donde el appraiser está desactivado, en adquisiciones solo de memoria, y en sistemas pre-Windows-10 donde Amcache es más escaso.

¿Por qué AppCompatCache contiene solo 1024 entradas?

Es una cache del kernel de tamaño fijo con expulsión LRU. Las entradas más antiguas se descartan para hacer sitio a nuevos toques del loader. Hosts muy usados pueden churnear el límite de 1024 entradas en días.

¿Por qué AppCompatCache está obsoleto en un sistema en vivo?

Porque la cache se mantiene en memoria del kernel continuamente pero solo se vuelca al registro al apagado limpio. En un sistema en vivo, el AppCompatCache en disco refleja el estado del último reinicio. Para AppCompatCache fresco, captura memoria y usa el plugin shimcachemem de Volatility.

¿Puedo cruzar Amcache y AppCompatCache?

Sí — y deberías. Un binario en AppCompatCache pero no en Amcache puede ser uno que el appraiser no ha inventariado aún (drop intra-pasada del appraiser). Un binario en Amcache pero no en AppCompatCache puede ser uno que estuvo presente pero nunca fue cargado por el kernel. Ambos huecos son informativos.

¿Cuál es la diferencia entre Amcache y AppCompatCache (ShimCache)?

AppCompatCache (también llamado ShimCache) y Amcache son artefactos diferentes de Windows que ambos rastrean binarios PE en un host. AppCompatCache es un blob binario mantenido por el kernel en el hive del registro SYSTEM que registra hasta 1024 binarios solo con ruta y marca de tiempo de modificación — sin hash, sin publisher. Amcache es un hive independiente mantenido en modo usuario (Amcache.hve) que registra miles de binarios con metadatos ricos incluyendo hash SHA-1, publisher, versión y fecha de link. AppCompatCache es actualizado por el loader y volcado al apagar; Amcache es actualizado por la tarea programada Compatibility Appraiser y escrito directamente de inmediato. Para la mayor parte del trabajo DFIR Amcache es más rico; AppCompatCache gana para evidencia de toque del loader del lado kernel y en hosts donde el appraiser está desactivado.

¿Cuál es la diferencia entre Amcache y AppCompatCache?

AppCompatCache (comúnmente llamado ShimCache) y Amcache son artefactos diferentes de Windows que ambos registran binarios PE en un host. Se confunden constantemente porque ambos viven en la infraestructura de Application Compatibility — pero son mecanismos diferentes con límites diferentes y valor forense muy diferente.

Las diferencias estrella:

ShimCache es más corto, más escaso, mantenido por el kernel y actualizado por el loader. Amcache es más largo, más rico, mantenido en modo usuario y actualizado por una tarea programada.

Lado a lado#

Propiedad	AppCompatCache (ShimCache)	Amcache
Almacenamiento	Hive `SYSTEM`, único valor binario	`Amcache.hve` independiente
Ruta del registro	`HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache`	`C:\Windows\AppCompat\Programs\Amcache.hve`
Mantenedor	Loader del kernel	Tarea programada en modo usuario (appraiser)
Entradas máximas	1024 (expulsión LRU)	Efectivamente sin límite
¿Registra hash?	No	Sí (SHA-1 de los primeros 31 MiB)
¿Registra publisher / versión?	No	Sí
¿Registra `ProgramId`?	No	Sí
¿Registra datos de driver / dispositivo?	No	Sí (claves separadas)
Persistencia a disco	Al apagar	Continua (con journals de transacciones)
¿Disponible fresco en sistema en vivo?	No (necesita apagado o memoria)	Sí
¿Disponible antes de Windows 10 1709?	Sí (desde Windows XP)	Parcialmente (solo schema legado)
¿Activado por defecto en Server?	Sí	Sí (pero cadencia más lenta)

Para cobertura completa, ver Amcache vs ShimCache.

Cuándo gana ShimCache#

"¿Tocó el loader este binario?" ShimCache registra toques del loader; Amcache registra presencia inventariada por el appraiser. Son señales diferentes.
Adquisiciones solo de memoria. El plugin shimcachemem de Volatility extrae ShimCache de RAM limpiamente.
Hosts pre-Windows-10. ShimCache ha estado ahí desde Windows XP.
Hosts hardenizados con el appraiser desactivado. ShimCache es mantenido por el kernel; persiste incluso cuando el appraiser está apagado.

Cuándo gana Amcache#

Pivotes por hash. ShimCache no tiene hash; Amcache tiene SHA-1.
Hunts inter-host. ShimCache no tiene ProgramId y no tiene hash — pivotes inter-host imposibles. Amcache tiene ambos.
Evidencia de driver / dispositivo. ShimCache cubre solo PE de modo usuario. Amcache tiene schemas dedicados de driver y dispositivo.
Triage en un sistema en vivo. Amcache está al día en disco; ShimCache está obsoleto hasta el reinicio.

Cuándo deberías usar ambos#

Siempre. Los dos artefactos se corroboran mutuamente:

Un binario en ambos → el loader lo tocó Y el appraiser lo registró. Hallazgo fuerte de "esto estuvo presente y se usó".
Un binario solo en ShimCache → el loader lo tocó pero el appraiser no lo ha inventariado aún, O el archivo vivió en una ruta que el appraiser no escanea, O el appraiser está desactivado.
Un binario solo en Amcache → presente e inventariado pero el loader no lo ha tocado (en la ventana actual de 1024 de ShimCache), O ShimCache fue limpiado o rotado.

Ambos ausentes en un host donde esperarías un binario = la señal más fuerte de "esto nunca ocurrió" que obtendrás de estos dos artefactos. Para prueba de ejecución, empareja con Prefetch.

Relacionado#

Referencia completa de Amcache
Amcache vs ShimCache — la comparación completa.
Glosario de ShimCache.
Parseo de AppCompatCache con la herramienta de Zimmerman.