fennek11
Goto Top

Freitagsfrage: Shim-Cache Analyse

Hallo,

eine Frage zu "ShimCache": Ist das ein in der forensischen Praxis genutztes Instrument?


Auch wenn im Netz ein Analyse-Tool steht (https://github.com/mandiant/ShimCacheParser/blob/master/ShimCacheParser. ..), es geht auch mit Excel:

reg export “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache” c:\windows\temp\shim.reg

kann direkt in Excel importiert werden. Hier ein Beispiel aus den 10.000 + Zeilen:

00,00,00,00,00,00,00,00,08,00,00,02,00,00,00,4c,01,00,00,31,30,74,73,ca,b9,\
70,8e,c6,00,00,00,3c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,\
00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,\
6d,00,64,00,6b,00,65,00,79,00,2e,00,65,00,78,00,65,00,fd,d2,35,a0,c4,ac,d5,\
01,7c,00,00,00,00,02,00,00,04,00,00,00,01,00,00,00,00,08,00,00,02,00,00,00,\

Mit wenigen Zeilen von VBA-Code dekodiert das zu

C:\WINDOWS\system32\cmdkey.exe

und der Zeitstempel "fd,d2,35,a0,c4,ac,d5,01" zu

07.12.2019 06:03

Die Interpretation ist für Anfänger kompliziert:

Ich habe CMDKEY bestimmt schon früher und auch später aufgerufen, aber sicher nicht morgens um 6:03. Generell wird nicht die Nutzung von Programmen, sondern eher der Zeitpunkt der Installation angezeigt.

Also nocheinmal die Frage: Ist der ShimCache ein nutzbares Tool?

mfg

Content-Key: 1944216970

Url: https://administrator.de/contentid/1944216970

Printed on: May 22, 2024 at 23:05 o'clock

Member: Ex0r2k16
Ex0r2k16 Feb 18, 2022 at 13:32:09 (UTC)
Goto Top
Ich bin kein Forensiker und fürn Freitag ist das ne heftige Frage aber ich denke mal nein weil diese DB ab win10 nicht mehr benutzt wird:

https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache
Member: C.R.S.
C.R.S. Feb 18, 2022 at 16:25:11 (UTC)
Goto Top
Zitat von @Ex0r2k16:

https://it-forensik.fiw.hs-wismar.de/index.php/ShimCache

Unter Windows 10 wird diese Datenbank nicht mehr gepflegt, daher kann diese nur für ältere Windowsversionen ausgewertet werden.

Ist aus meiner Sicht nicht richtig, sondern könnte sich auf das lediglich eingeschränkte Shimming unter Windows 10 beziehen. Aber ich mache das so gut wie nie und habe es jetzt nicht getestet. Wie dort aber auch beschrieben ist, ist der Zeitstempel der Änderungszeitstempel der Executable, der lediglich beim Shimming aus dem Dateisystem gelesen und in den Cache geschrieben wird. Also nicht der Ausführungszeitpunkt.

Grüße
Richard