Freitagsfrage: Shim-Cache Analyse

fennek11
Goto Top
Hallo,

eine Frage zu "ShimCache": Ist das ein in der forensischen Praxis genutztes Instrument?


Auch wenn im Netz ein Analyse-Tool steht (https://github.com/mandiant/ShimCacheParser/blob/master/ShimCacheParser. ..), es geht auch mit Excel:

reg export “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache” c:\windows\temp\shim.reg

kann direkt in Excel importiert werden. Hier ein Beispiel aus den 10.000 + Zeilen:

00,00,00,00,00,00,00,00,08,00,00,02,00,00,00,4c,01,00,00,31,30,74,73,ca,b9,\
70,8e,c6,00,00,00,3c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,\
00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,\
6d,00,64,00,6b,00,65,00,79,00,2e,00,65,00,78,00,65,00,fd,d2,35,a0,c4,ac,d5,\
01,7c,00,00,00,00,02,00,00,04,00,00,00,01,00,00,00,00,08,00,00,02,00,00,00,\

Mit wenigen Zeilen von VBA-Code dekodiert das zu

C:\WINDOWS\system32\cmdkey.exe

und der Zeitstempel "fd,d2,35,a0,c4,ac,d5,01" zu

07.12.2019 06:03

Die Interpretation ist für Anfänger kompliziert:

Ich habe CMDKEY bestimmt schon früher und auch später aufgerufen, aber sicher nicht morgens um 6:03. Generell wird nicht die Nutzung von Programmen, sondern eher der Zeitpunkt der Installation angezeigt.

Also nocheinmal die Frage: Ist der ShimCache ein nutzbares Tool?

mfg

Content-Key: 1944216970

Url: https://administrator.de/contentid/1944216970

Ausgedruckt am: 01.07.2022 um 16:07 Uhr

Mitglied: Ex0r2k16
Ex0r2k16 18.02.2022 um 14:32:09 Uhr
Goto Top
Ich bin kein Forensiker und fürn Freitag ist das ne heftige Frage aber ich denke mal nein weil diese DB ab win10 nicht mehr benutzt wird:

https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache
Mitglied: C.R.S.
C.R.S. 18.02.2022 um 17:25:11 Uhr
Goto Top
Zitat von @Ex0r2k16:

https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache
Unter Windows 10 wird diese Datenbank nicht mehr gepflegt, daher kann diese nur für ältere Windowsversionen ausgewertet werden.

Ist aus meiner Sicht nicht richtig, sondern könnte sich auf das lediglich eingeschränkte Shimming unter Windows 10 beziehen. Aber ich mache das so gut wie nie und habe es jetzt nicht getestet. Wie dort aber auch beschrieben ist, ist der Zeitstempel der Änderungszeitstempel der Executable, der lediglich beim Shimming aus dem Dateisystem gelesen und in den Cache geschrieben wird. Also nicht der Ausführungszeitpunkt.

Grüße
Richard