ShimCache 정의

• AppCompatCache로 불리기도 한다.
• 응용 프로그램 간 호환성을 제어하고 트러블슈팅과 문제 해결을 위해 만든 파일이다.
  • 악성코드 실행 시 호환성 문제 발생하기 때문에 침해분석에 활용
• 모든 실행 파일의 경로, 크기, 마지막 수정시간, 마지막 실행 시간 등의 정보를 저장한다.
• 프리패치와 비슷한 응용프로그램의 실행 정보 저장
  • 하지만 프리패치는 한정적이라 사라질 가능성이 있다.
• 특정 malware가 실행된 시스템 식별한다.

ShimCache 포렌식적 관점

• 실행 파일의 이름, 경로, 크기 정보를 확인
• 마지막 실행 시간 확인
• 침해사고 분석에 활용 가능

ShimCache 레지스트리 경로

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

• SYSTEM\ControlSet00x\Control\SessionManager\AppCompatCache

ShimCache Structure

ShimCache는 AppCompatCache 안에 ShimCache Entry 형태로 존재하는것 같다.

ShimCache Header