2018
07
10

Application Compatibility Cache (Shimcache)のExecution Flagが"FALSE"の原因として考えられるパターン

Application Compatibility Cache (Shimcache)とはWindowsシステム上で実行されたプログラムの互換性に関する問題をトラックするためのデータベースです。

Application Compatibility Cacheを調査することによって、対象のWindowsホスト上で、どのようなプログラムが実行されたかを確認することができます。

Application Compatibility Cacheには以下のような情報が含まれています。

- ファイルのフルパス
- ファイル・サイズ
- ファイルの最終更新日時($Standard Information timestampより)
- Application Compatibility Cacheの最終更新日時
- プロセスの実行フラグ(Execution Flag)


Application Compatibility Cacheのエントリーを調べるとExecution Flagが"FALSE"となっているファイルを少なからず見かけます。

ファイルのExecution Flagが"FALSE"となっている場合、以下のようなケースが考えられます。

1. ユーザーが実行可能ファイルの配置されているディレクトリをエクスプローラー等で閲覧した(なので実際には実行されていない)
2. ほかのプログラムによってファイルが実行された

2の具体例としてはWindowsのバッチ(.bat)ファイルが挙げられます。

バッチファイルはファイル単体では実行できません。多くの場合、コマンドプロンプト経由で実行されます。例えば"foo.bat"というバッチファイルがコマンドプロンプトから実行された場合、Application Compatibility Cacheでは"foo.bat"のExecution Flagは"FALSE"として記録されます。そして"foo.bat"のエントリーの直前に"cmd.exe"(コマンドプロンプト)がExecution Flag "TRUE"として記録されます。


参考URL
https://docs.microsoft.com/en-us/windows/desktop/DevNotes/application-compatibility-database
https://www.fireeye.com/blog/threat-research/2015/06/caching_out_the_val.html
https://www.fireeye.com/blog/threat-research/2015/10/shim_shady_live_inv/shim-shady-part-2.html
https://www.fireeye.com/content/dam/fireeye-www/services/freeware/shimcache-whitepaper.pdf
Comment



Only the blog author may view the comment.


Trackback
Trackback URL

 | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード