AppCompatCacheParser 使用教程

项目介绍

AppCompatCacheParser 是一个用于解析 Windows 系统中的 AppCompatCache（也称为 ShimCache）的开源工具。该工具支持从 Windows XP 到 Windows 11 的多个版本，能够帮助安全研究人员和数字取证专家分析系统中的应用程序兼容性缓存信息。

项目快速启动

安装

首先，克隆项目仓库到本地：

git clone https://github.com/EricZimmerman/AppCompatCacheParser.git

使用

进入项目目录并运行工具：

cd AppCompatCacheParser
AppCompatCacheParser.exe --csv c:\temp --csvf results.csv

上述命令将解析 AppCompatCache 并生成 CSV 格式的结果文件。

应用案例和最佳实践

案例一：系统取证分析

在系统取证过程中，使用 AppCompatCacheParser 可以帮助分析系统中已安装和运行的应用程序，从而推断系统的使用情况和潜在的安全问题。

案例二：恶意软件分析

通过分析 AppCompatCache，可以检测到系统中是否存在未记录的恶意软件或异常行为，为恶意软件分析提供重要线索。

最佳实践

• 定期分析：定期使用 AppCompatCacheParser 对系统进行分析，以便及时发现和处理潜在的安全威胁。
• 结合其他工具：将 AppCompatCacheParser 的输出结果与其他取证工具（如 AmcacheParser）结合使用，可以获得更全面的系统分析结果。

典型生态项目

MFTECmd

MFTECmd 是一个用于解析 NTFS 文件系统元数据的工具，与 AppCompatCacheParser 结合使用，可以提供更全面的系统取证信息。

ShellBags Explorer

ShellBags Explorer 是一个用于解析 Windows ShellBags 的工具，通过分析用户的文件夹视图设置，可以揭示用户的行为模式和习惯。

通过结合这些工具，可以构建一个强大的数字取证和安全分析生态系统。