Amcache и Shimcache в криминалистическом анализе

Данные из Amcache и Shimcache могут предоставить временную шкалу того, какая программа была выполнена, когда она была впервые запущена и последний раз изменена.

Кроме того, эти артефакты предоставляют информацию о программе, касающуюся пути к файлу, его размера и хэша в зависимости от версии ОС.

Amcache

Amcache.hve это файл реестра, который хранит информацию о запускаемых приложениях в системе.

В Windows 8 Amcache.hve заменяет RecentFileCache.bcf и использует формат файла реестра Windows NT (REGF).

Amcache.hve расположен:

%SystemRoot%\AppCompat\Programs\Amcache.hve
31e45 1ggkdfsoeys2grspwc0eh8w - Amcache и Shimcache в криминалистическом анализе

Каждая запись включает в себя путь выполнения, время первого выполнения, время удаления и первую установку.

Файл Amcache.hve также является важным артефактом для поиска следов анти-криминалистических, портабельных программ, а так же внешних устройств хранения данных.

Файл может быть проанализирован с помощью плагина amcache RegRipper :

https://github.com/keydet89/RegRipper2.8

Какие данные можно получить из файла Amcache.hve?

В Amcache.hve записываются последние запущенные процессы, а так же перечисляется пути к исполняемым файлам, которые затем можно использовать для поиска необходимых данных.

Так же записывается SHA1 запущенной программы, что позволяет исследователь программу используя базы данных (например VirusTotal)

Shimcache

Shimcache, также известный как AppCompatCache, является компонентом базы данных совместимости приложений, созданной Microsoft (начиная с Windows XP ) и используемой операционной системой для выявления проблем совместимости приложений.

Кэш хранит различные метаданные файла в зависимости от операционной системы, такие как:

  • Полный путь к файлу
  • Размер файла
  • $ Standard_Information (SI) Время последнего изменения
  • Последнее обновление Shimcache
  • Флаг выполнения процесса

Подобно файлу журнала, Shimcache также перезаписывает данные, что означает, что самые старые данные заменяются новыми записями. 

Количество сохраняемых данных зависит от операционной системы. (1024 записей в системах Win 7/ 8/10 )

Это помогает разработчикам устранять неполадки унаследованных функций и содержит данные, относящиеся к функциям Windows: он используется для быстрого поиска, чтобы решить, нужно ли модулировать «шимминг» для совместимости или нет.

Shim — это небольшая библиотека, которая прозрачно обрабатывает взаимодействие между приложениями, чтобы обеспечить поддержку более старых API в более новой среде или наоборот.

Данные хранятся в ключе реестра CacheMainSdb, который можно найти:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache

Это изображение имеет пустой атрибут alt; его имя файла - image-1.png
Пример содержимого файла

Shimcache можно конвертировать в удобочитаемый вид при помощи ShimCacheParser.py от Mandiant:

https://github.com/mandiant/ShimCacheParser

Как можно использовать?

Shimcache отслеживает метаданные , такие как полный путь к файлу, дата последнего изменения и размер файла , но содержит только информацию до последнего запуска системы, так как текущие данные сохраняются только в памяти

События в Shimcache.hve перечислены в хронологическом порядке, начиная с самого последнего события, и их можно использовать на временных шкалах для воссоздания и определения вредоносных действий.

Вольный перевод статьи