Данные из Amcache andShimcache могут предоставить временную шкалу того, what program was executed, when it was first launched and last modified.
Besides, эти артефакты предоставляют информацию о программе, касающуюся пути к файлу, его размера и хэша в зависимости от версии ОС.
Amcache
Amcache.hve это файл реестра, который хранит информацию о запускаемых приложениях в системе.
В Windows 8Amcache.hve заменяетRecentFileCache.bcf и использует форматфайла реестра Windows NT (REGF).
Amcache.hve расположен:
%SystemRoot%\AppCompat\Programs\Amcache.hve
Каждая запись включает в себя путь выполнения, время первого выполнения, время удаления и первую установку.
Файл Amcache.hve также является важным артефактом для поиска следов анти-криминалистических, портабельных программ, а так же внешних устройств хранения данных.
Файл может быть проанализирован с помощью плагина amcache RegRipper :
https://github.com/keydet89/RegRipper2.8
Какие данные можно получить из файла Amcache.hve?
IN Amcache.hve записываются последние запущенные процессы, а так же перечисляется пути к исполняемым файлам, которые затем можно использовать для поиска необходимых данных.
Так же записывается SHA1 запущенной программы, что позволяет исследователь программу используя базы данных (For example VirusTotal)
Shimcache
Shimcache, также известный какAppCompatCache, является компонентомбазы данных совместимости приложений, созданнойMicrosoft (начиная сWindows XP ) и используемой операционной системой для выявления проблем совместимости приложений.
Кэш хранит различные метаданные файла в зависимости от операционной системы, такие как:
- Полный путь к файлу
- Размер файла
- $ Standard_Information (SI) Время последнего изменения
- Последнее обновление Shimcache
- Флаг выполнения процесса
Подобно файлу журнала, Shimcache также перезаписывает данные, что означает, что самые старые данные заменяются новыми записями.
Количество сохраняемых данных зависит от операционной системы. (1024 записей в системах Win 7/ 8/10 )
Это помогает разработчикам устранять неполадки унаследованных функций и содержит данные, относящиеся к функциям Windows: он используется для быстрого поиска, чтобы решить, нужно ли модулировать “шимминг” для совместимости или нет.
Shim – это небольшая библиотека, которая прозрачно обрабатывает взаимодействие между приложениями, чтобы обеспечить поддержку более старых API в более новой среде или наоборот.
Данные хранятся в ключе реестра CacheMainSdb, который можно найти:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
Shimcache можно конвертировать в удобочитаемый вид при помощи ShimCacheParser.py от Mandiant:
https://github.com/mandiant/ShimCacheParser
Как можно использовать?
Shimcache отслеживает метаданные , такие как полный путь к файлу, дата последнего изменения и размер файла , но содержит только информацию до последнего запуска системы, так как текущие данные сохраняются только в памяти
События в Shimcache.hve перечислены в хронологическом порядке, начиная с самого последнего события, и их можно использовать на временных шкалах для воссоздания и определения вредоносных действий.