DFIR - ShimCache Forensics



Bu dökümanımızda ShimCache analizi yapıcaz. İlk olarak ShimCache nedir ne işe yarar bunlardan bahsedicez daha sonra parse etme işlemnine geçicez

ShimCache : Windows işletim sisteminde, uyumluluk sorunlarını çözmek için kullanılan bir mekanizmanın bir parçasıdır. Windows, eski uygulamaların yeni işletim sistemlerinde çalışmasını sağlamak amacıyla bir "shim" katmanı uygular. Bu süreçte, uygulamaların sistemde nasıl çalıştığı hakkında bilgiler kaydedilir ve bu bilgiler daha sonra adli analizlerde önemli bir kaynak haline gelir.

ShimCache SYSTEM hve dosyasında bulunur. Bunu FTK Imager ile exportunu sağlayacağız.



Export işlemini sağladıktan AppCompatCache toolu ile parse etme işlemimize geçebiliriz.



Toolumuzun yoluna gittikten sonra “dir” komutu ile dizindeki dosya ve dizinleri listeleyelim. Görüldüğü üzere bir temp dosyası ve AppcompatCache toolu var temp dosyası içinde SYSTEM dosyamız bulunmakta.



AppCompatCache.exe -h komutu ile toolumuzun nasıl kullanıldığı hakkında bilgi alabiliriz.



Daha sonra AppCompatCache.exe –csv c:\users\mehmet\desktop\Artifact_dosyaları\temp yapıp enter’lıyoruz. parse işlemimiz tamamlanıyor.



Çıktımız temp dosyasına kaydedilmiş durumda çıktımızın içeriğine bakalım.






ShimCache Forensics Anlatım Videosu : https://www.youtube.com/watch?v=mPHOZu2p67o



Yorum Gönder

0 Yorumlar