هل تبحث عن شيئ معين في المدونة ؟ اكتب الجملة أو الكلمة التي تريد البحث عنها، واضغط Enter
اضف تعليق

Mostly about DFIR and some other stuffs

ماهي معلومات Shimcache والفائدة منها في التحقيق الجنائي الرقمي

Shimcache تم اضافتها الى نظام وندوز ابتداء من وندوز اكس بي وكان الهدف منها تتبع معلومات الملفات التنفيذيه لغرض متابعه التوافقيه للملفات التنفيذيه لمختلف اصدارات وندوز. هذا يعني ان نظام وندوز يقوم بجمع معلومات عن الملفات التنفيذيه (البرامج ) في النظام, هذه المعلومات يطلق عليها Shimcache.

معلومات الـ Shimcache تتضمن في التالي:

  • File Full Path
  • File Size
  • $Standard_Information (SI) Last Modified time
  • Shimcache Last Updated time
  • Process Execution Flag

هذه المعلومات لها قيمة فعلية للتحقيق الجنائي الرقمي والكثير من ادوات التحقيق الجنائي مثل Encase و FTK تحلل وتستخرج هذه المعلومات اثناء تحليل صورة النظام. من خلال هذه المعلومات نستطيع معرفة البرمجيات التي تم تشغيلها في النظام ومعلومات اخرى مثل الحجم ومسار الملف وغيرها.

في 2012 قام Andrew Davis بنشر White paper عنها ومنذ ذلك الحين اصبحت من الـartifacts المهمه للتحقيق الجنائي الرقمي في انظمه وندوز  .

يمكن للمحقق الجنائي استخدام اداة ShimCacheParser لاستخراج هذه المعلومات من الرجستري الخاص بالنظام . ايضا هناك plugin يمكن استخدامها مع مشروع volatility لتحليل الذاكرة .

هذا مثال عملي لاستخراج هذه المعلومات من موقع fireeye

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv.html

ايضا هذا المقال يشرح التفاصيل التقنية

https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv/shim-shady-part-2.html

 

لا يوجد تعليقات على هذه المقالة

اضف تعليق