¿Qué es ShimCache (AppCompatCache)? (glosario)
ShimCache (también llamado AppCompatCache) es una cache binaria
mantenida por el kernel en el hive del registro SYSTEM que
registra hasta 1024 binarios PE que el loader de Windows ha
tocado, con la ruta del archivo, una marca de tiempo de
modificación y un flag de ejecución.
Es más antiguo que Amcache, más pequeño que Amcache, y responde una pregunta diferente pero solapada. Confundirlos produce hallazgos erróneos.
ShimCache vs Amcache#
| ShimCache | Amcache | |
|---|---|---|
| Almacenamiento | Hive SYSTEM, valor binario |
Amcache.hve |
| Mantenedor | Loader del kernel | Tarea programada en modo usuario |
| Entradas máximas | 1024 | Efectivamente sin límite |
| ¿Registra hash? | No | Sí (SHA-1) |
| ¿Registra publisher / versión? | No | Sí |
¿Registra ProgramId? |
No | Sí |
| ¿Fresco en sistema en vivo? | No (necesita apagado) | Sí |
| Disponible antes de Windows 8 | Sí | No (Amcache es Win 8+) |
| Actualizado por | Toques del loader | Escaneos del appraiser |
Para cobertura completa, ver Amcache vs ShimCache.
Cuándo gana ShimCache#
- Evidencia de toque del kernel. ShimCache registra los toques del loader de forma más agresiva de lo que Amcache registra presencia.
- Adquisiciones solo en memoria. El plugin
shimcachememde Volatility extrae ShimCache limpiamente de la RAM. - Hosts hardenizados con appraiser desactivado. ShimCache es mantenida por el kernel; persiste incluso cuando el appraiser está apagado.
- Pre-Windows 10 1709. El schema moderno de Amcache solo aterrizó en 1709; ShimCache ha estado ahí desde Windows XP.
Cuándo gana Amcache#
- Hashes para VirusTotal. ShimCache no tiene hash. Amcache tiene SHA-1.
- Hunts inter-host. ShimCache no tiene ProgramId, no tiene hash, solo rutas.
- Evidencia de driver / dispositivo. ShimCache es solo PE. Amcache tiene schemas separados de driver y dispositivo.
- Retención de ventana larga. ShimCache rota a las 1024 entradas; Amcache contiene miles.
Para la comparación más amplia de evidencia de ejecución, ver Amcache vs Prefetch.
Términos relacionados#
- Amcache.hve — el artefacto de inventario moderno.
- Prefetch — el artefacto de evidencia de ejecución.
- InventoryApplicationFile — el equivalente de Amcache al blob principal de ShimCache.
Artículos relacionados
- Amcache vs ShimCache: cuándo gana cada artefacto
ShimCache y Amcache ambos registran binarios que tocaron un host Windows. Son mecanismos diferentes con límites diferentes — aquí cuándo usar cada uno y qué prueba realmente su solapamiento.
- ¿Cuál es la diferencia entre Amcache y AppCompatCache?
Amcache es un hive del registro más rico mantenido por el appraiser con hashes y metadatos. AppCompatCache (ShimCache) es un blob del registro más pequeño mantenido por el loader con rutas y marcas de tiempo solamente.
- ¿Qué es SRUM (SRUDB.dat)? (glosario)
SRUM es el System Resource Usage Monitor de Windows — una base de datos ESE que registra el uso de CPU, red e I/O por aplicación en bloques horarios durante 30-60 días.
- ¿Qué es Amcache ProgramId? (glosario)
ProgramId es el hash de identidad de aplicación de 44 caracteres que Amcache asigna a cada aplicación lógica. El mismo ProgramId en hosts diferentes significa la misma instalación de aplicación.