Дані з Amcache іShimcache можуть надати тимчасову шкалу того, яка програма була виконана, коли вона була вперше запущена і востаннє змінена.
Крім того, ці артефакти надають інформацію про програму, що стосується шляху до файлу, його розміру та хешу в залежності від версії ОС.
Amcache
Amcache.hve це файл реєстру, який зберігає інформацію про програми, що запускаються в системі.
В Windows 8Amcache.hve замінюєRecentFileCache.bcf та використовує форматфайл реєстру Windows NT (REGF).
Amcache.hve розташований:
%SystemRoot%\AppCompat\Programs\Amcache.hveКожен запис включає шлях виконання, час першого виконання, час видалення та першу установку.
Файл Amcache.hve також є важливим артефактом для пошуку слідів анти-криміналістичних, портабельних програм, а також зовнішніх пристроїв зберігання даних.
Файл може бути проаналізований за допомогою плагіну amcache RegRipper :
https://github.com/keydet89/RegRipper2.8
Які дані можна отримати з файлу Amcache.hvд?
У Amcache.hve записуються останні запущені процеси, а також перераховується шляхи до виконуваних файлів, які потім можна використовувати для пошуку необхідних даних.
Також записується SHA1 запущеної програми, що дозволяє дослідник програму використовуючи бази даних (наприклад VirusTotal)
Shimcache
Shimcache, також відомий якAppCompatCache, є компонентомбази даних сумісності додатків, створеноюMicrosoft (починаючи зWindows XP ) та операційною системою, що використовується, для виявлення проблем сумісності додатків.
Кеш зберігає різні метадані файлу в залежності від операційної системи, такі як:
- Повний шлях до файлу
- Розмір файлу
- $ Стандартна_інформація (І) Час останньої зміни
- Останнє оновлення Shimcache
- Прапор виконання процесу
Подібно до файлу журналу, Shimcache також перезаписує дані, що означає, що найстаріші дані замінюються новими записами.
Кількість даних, що зберігаються, залежить від операційної системи. (1024 записів у системах Win 7/8/10 )
Це допомагає розробникам усунути неполадки успадкованих функцій та містить дані, пов'язані з функціями Windows: він використовується для швидкого пошуку, для того щоб вирішити, чи потрібно модулювати “шиммінг” для сумісності чи ні.
Прокладка – це невелика бібліотека, яка прозоро обробляє взаємодію між додатками, щоб забезпечити підтримку більш старих API у новітньому середовищі або навпаки.
Дані зберігаються у ключі реєстру CacheMainSdb, який можна знайти:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCompatCache
Shimcache можна конвертувати у легкочитаний вид за допомогою ShimCacheParser.py від Mandiant:
https://github.com/mandiant/ShimCacheParser
Як можна використовувати?
Shimcache відстежує метадані , такі як повний шлях до файлу, дата останньої зміни та розмір файлу , але містить лише інформацію до останнього запуску системи, оскільки поточні дані зберігаються лише у пам'яті
Події Shimcache.hve перераховані в хронологічному порядку, починаючи з останньої події, та їх можна використовувати на тимчасових шкалах для відтворення та визначення шкідливих дій.