Skip to content

Blog

Was zu tun ist, nachdem ein verdächtiger Eintrag auftaucht: Ausführung bestätigen, was zu kreuzen ist, und die False-Positive-Muster, die Analysten kalt erwischen.
Ein Durchgang durch den Windows-7-Dienst und die geplante Aufgabe, die RecentFileCache.bcf schreiben, und was dieser Lebenszyklus für Triage-Zeitfenster bedeutet.
Eine praxisnahe Lektüre des binären RecentFileCache.bcf-Formats mit einem Hex-Dump, einem decodierten Datensatz und den Sonderfällen, die ein Parser handhaben muss.
Vier Windows-Evidence-of-Execution-Artefakte nebeneinander: was jedes speichert, was nicht, und welches du zuerst öffnen solltest.
Eine kurze Einführung in das Windows-7-AppCompat-Artefakt: wo es lebt, was es aufzeichnet und warum es 2026 immer noch in Triage-Fällen auftaucht.