2
Freitagsfrage: Shim-Cache Analyse
Hallo,
eine Frage zu "ShimCache": Ist das ein in der forensischen Praxis genutztes Instrument?
Auch wenn im Netz ein Analyse-Tool steht (https://github.com/mandiant/ShimCacheParser/blob/master/ShimCacheParser. ..), es geht auch mit Excel:
reg export “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache” c:\windows\temp\shim.reg
kann direkt in Excel importiert werden. Hier ein Beispiel aus den 10.000 + Zeilen:
00,00,00,00,00,00,00,00,08,00,00,02,00,00,00,4c,01,00,00,31,30,74,73,ca,b9,\
70,8e,c6,00,00,00,3c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,\
00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,\
6d,00,64,00,6b,00,65,00,79,00,2e,00,65,00,78,00,65,00,fd,d2,35,a0,c4,ac,d5,\
01,7c,00,00,00,00,02,00,00,04,00,00,00,01,00,00,00,00,08,00,00,02,00,00,00,\
Mit wenigen Zeilen von VBA-Code dekodiert das zu
C:\WINDOWS\system32\cmdkey.exe
und der Zeitstempel "fd,d2,35,a0,c4,ac,d5,01" zu
07.12.2019 06:03
Die Interpretation ist für Anfänger kompliziert:
Ich habe CMDKEY bestimmt schon früher und auch später aufgerufen, aber sicher nicht morgens um 6:03. Generell wird nicht die Nutzung von Programmen, sondern eher der Zeitpunkt der Installation angezeigt.
Also nocheinmal die Frage: Ist der ShimCache ein nutzbares Tool?
mfg
eine Frage zu "ShimCache": Ist das ein in der forensischen Praxis genutztes Instrument?
Auch wenn im Netz ein Analyse-Tool steht (https://github.com/mandiant/ShimCacheParser/blob/master/ShimCacheParser. ..), es geht auch mit Excel:
reg export “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache” c:\windows\temp\shim.reg
kann direkt in Excel importiert werden. Hier ein Beispiel aus den 10.000 + Zeilen:
00,00,00,00,00,00,00,00,08,00,00,02,00,00,00,4c,01,00,00,31,30,74,73,ca,b9,\
70,8e,c6,00,00,00,3c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,\
00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,\
6d,00,64,00,6b,00,65,00,79,00,2e,00,65,00,78,00,65,00,fd,d2,35,a0,c4,ac,d5,\
01,7c,00,00,00,00,02,00,00,04,00,00,00,01,00,00,00,00,08,00,00,02,00,00,00,\
Mit wenigen Zeilen von VBA-Code dekodiert das zu
C:\WINDOWS\system32\cmdkey.exe
und der Zeitstempel "fd,d2,35,a0,c4,ac,d5,01" zu
07.12.2019 06:03
Die Interpretation ist für Anfänger kompliziert:
Ich habe CMDKEY bestimmt schon früher und auch später aufgerufen, aber sicher nicht morgens um 6:03. Generell wird nicht die Nutzung von Programmen, sondern eher der Zeitpunkt der Installation angezeigt.
Also nocheinmal die Frage: Ist der ShimCache ein nutzbares Tool?
mfg
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1944216970
Url: https://administrator.de/contentid/1944216970
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Ich bin kein Forensiker und fürn Freitag ist das ne heftige Frage aber ich denke mal nein weil diese DB ab win10 nicht mehr benutzt wird:
https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache
https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache
Zitat von @Ex0r2k16:
https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache
Unter Windows 10 wird diese Datenbank nicht mehr gepflegt, daher kann diese nur für ältere Windowsversionen ausgewertet werden.
https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache
Unter Windows 10 wird diese Datenbank nicht mehr gepflegt, daher kann diese nur für ältere Windowsversionen ausgewertet werden.
Ist aus meiner Sicht nicht richtig, sondern könnte sich auf das lediglich eingeschränkte Shimming unter Windows 10 beziehen. Aber ich mache das so gut wie nie und habe es jetzt nicht getestet. Wie dort aber auch beschrieben ist, ist der Zeitstempel der Änderungszeitstempel der Executable, der lediglich beim Shimming aus dem Dateisystem gelesen und in den Cache geschrieben wird. Also nicht der Ausführungszeitpunkt.
Grüße
Richard
