Qu'est-ce que ShimCache (AppCompatCache) ? (glossaire)
ShimCache (aussi appelé AppCompatCache) est un cache binaire
maintenu par le noyau dans la ruche du registre SYSTEM qui enregistre jusqu'à
1024 binaires PE que le loader Windows a touchés, avec le
chemin du fichier, un horodatage de modification et un indicateur d'exécution.
Il est plus ancien qu'Amcache, plus petit qu'Amcache, et répond à une question différente mais qui se chevauche. Confondre les deux produit des conclusions erronées.
ShimCache vs Amcache#
| ShimCache | Amcache | |
|---|---|---|
| Stockage | Ruche SYSTEM, valeur binaire |
Amcache.hve |
| Maintenu par | Loader noyau | Tâche planifiée en mode utilisateur |
| Entrées max | 1024 | Effectivement illimité |
| Enregistre le hash ? | Non | Oui (SHA-1) |
| Enregistre éditeur / version ? | Non | Oui |
Enregistre ProgramId ? |
Non | Oui |
| Frais sur système en cours d'exécution ? | Non (besoin d'arrêt) | Oui |
| Disponible pré-Windows 8 | Oui | Non (Amcache est Win 8+) |
| Mis à jour par | Touches du loader | Scans de l'appraiser |
Pour une couverture complète, voir Amcache vs ShimCache.
Quand ShimCache gagne#
- Preuve de touche par le noyau. ShimCache enregistre les touches du loader plus agressivement qu'Amcache n'enregistre la présence.
- Acquisitions uniquement en mémoire. Le plugin
shimcachememde Volatility extrait ShimCache proprement depuis la RAM. - Hôtes durcis avec appraiser désactivé. ShimCache est maintenu par le noyau ; il persiste même quand l'appraiser est désactivé.
- Pré-Windows 10 1709. Le schéma Amcache moderne n'a atterri qu'en 1709 ; ShimCache est là depuis Windows XP.
Quand Amcache gagne#
- Hashes pour VirusTotal. ShimCache n'a pas de hash. Amcache a SHA-1.
- Chasses inter-hôtes. ShimCache n'a pas de ProgramId, pas de hash, juste des chemins.
- Preuve de pilote / périphérique. ShimCache est PE uniquement. Amcache a des schémas séparés pour les pilotes et périphériques.
- Rétention sur longue fenêtre. ShimCache tourne à 1024 entrées ; Amcache en contient des milliers.
Pour la comparaison plus large des preuves d'exécution, voir Amcache vs Prefetch.
Termes apparentés#
- Amcache.hve — l'artefact d'inventaire moderne.
- Prefetch — l'artefact de preuve d'exécution.
- InventoryApplicationFile — l'équivalent Amcache du blob principal de ShimCache.
Articles liés
- Amcache vs ShimCache : quand chaque artefact gagne
ShimCache et Amcache enregistrent tous deux les binaires ayant touché un hôte Windows. Ce sont des mécanismes différents avec des limites différentes — voici quand utiliser chacun, et ce que prouve réellement leur recoupement.
- Quelle est la différence entre Amcache et AppCompatCache ?
Amcache est une ruche du registre plus riche, maintenue par l'appraiser, avec hashes et métadonnées. AppCompatCache (ShimCache) est un blob de registre plus petit, maintenu par le loader, avec chemins et horodatages uniquement.
- Qu'est-ce que SRUM (SRUDB.dat) ? (glossaire)
SRUM est le System Resource Usage Monitor Windows — une base de données ESE enregistrant l'utilisation CPU, réseau et E/S par application en buckets horaires sur 30-60 jours.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Le même ProgramId sur différents hôtes signifie la même installation d'application.