One Article Review
| Source |  Mandiant |
|---|---|
| Identifiant | 8377807 |
| Date de publication | 2015-06-17 13:29:00 (vue: 2023-09-01 14:42:17) |
| Titre | CACHING OUT: La valeur de Shimcache pour les enquêteurs Caching Out: The Value of Shimcache for Investigators |
| Texte | Au cours d'une enquête récente, nous avons trouvé des références aux horodatages associés à des fichiers malveillants probables qui ont précédé la première date de compromis connue.Ces horodatages de compatibilité d'application («Shimcache») étaient les seules preuves liées à ce délai.
Le Windows Shimcache a été créé par Microsoft à partir de Windows XP pour suivre les problèmes de compatibilité avec les programmes exécutés.Le cache stocke diverses métadonnées de fichier en fonction du système d'exploitation, telles que:
Fichier le chemin complet
Taille du fichier
$ standard_information (SI) Dernière heure modifiée
SHIMCACHE DERNIÈRE TEMPS MISE À JOUR
Proces
During a recent investigation, we found references to timestamps associated with probable malicious files that preceded the earliest known date of compromise. These Application Compatibility Cache (“Shimcache”) timestamps were the only evidence linked to this timeframe. The Windows Shimcache was created by Microsoft beginning in Windows XP to track compatibility issues with executed programs. The cache stores various file metadata depending on the operating system, such as: File Full Path File Size $Standard_Information (SI) Last Modified time Shimcache Last Updated time Proces |
| Notes | ★★★★ |
| Envoyé | Oui |
| Condensat | $standard application as: associated beginning cache caching compatibility compromise created date depending during earliest evidence executed file files found full information investigation investigators issues known last linked malicious metadata microsoft modified only operating out: path preceded probable proces programs recent references shimcache size stores such system these time timeframe timestamps track updated value various windows “shimcache” |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.