Shimcache (AppCompatCache)
Application Compatibility Cache stores up to 1024 executed binary records with full path and last-modified timestamp. Persists even when a binary is deleted.
保存場所
標準的なファイルシステムパスとレジストリ上の場所です。
- $HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache\AppCompatCache
フォレンジック上の重要性
このアーティファクトが決定的な証拠になりやすい代表的な調査シナリオです。
- Detecting binaries executed and deleted by malware
- Locating renamed copies of known-bad tools (e.g., mimikatz.exe → svchost.exe)
- Establishing long-term execution history that outlives Prefetch
MITRE ATT&CKマッピング
このアーティファクトが検知や裏付けに役立つ可能性のある技術です。
解析に使えるツール
このアーティファクトの解析でよく使われるunJaena AIおよびDFIRツールです。
関連アーティファクト
Amcache.hve
Compatibility database introduced in Windows 8 that records every PE file executed on the system, including SHA-1 hash, full path, publisher, and first-seen timestamp.
Prefetch Files
Windows Prefetch stores up to the last 8 execution times of a binary along with loaded DLLs and volume information — a foundational timeline artifact for Windows investigations.
BAM / DAM
Background Activity Moderator and Desktop Activity Moderator record last-execution timestamps per user SID for every binary the system considers interactive.
Shell Bags
Windows Explorer view preferences recorded per-folder in UsrClass.dat. Shell Bags prove a user navigated to a folder, even after the folder or attached volume is long gone.
参考資料
アーティファクト解析を手作業で終わらせない
unJaena AIはディスクイメージ、ライブレスポンス出力、モバイルバックアップを取り込み、このページのアーティファクトと200件以上の追加項目を自動で関連付け、調査に使えるタイムラインへ整理します。
unJaena AIを試す →