« AmCache : Artefact d’exécution de binaires “shimés” et d’installation de programmes à partir de Windows 7 et Server 2008 R2 ; Solutions techniques permettant d’assurer la compatibilité des applications sur différents systèmes »
« La faible notoriété de l’AmCache en fait un artefact de choix lors de recherches de compromissions évoluées, car il peut facilement être oublié par un attaquant cherchant à effacer ses traces. Bien que les données collectées dans cet artefact soient extrêmement utiles, leur interprétation correcte est rendue complexe par de nombreux cas particuliers à prendre en compte lors d’une analyse.
Les travaux présentés lors de la CoRI&IN 2019 visent à réhabiliter cet artefact auprès des analystes, en fournissant une documentation de référence détaillée des cas dans lesquels une conclusion peut être tirée. »