Skip to content

Series

RecentFileCache.bcf verstehen

8 posts in this series. Read them in order or jump to any one.

  1. Was ist RecentFileCache.bcf?

    Eine kurze Einführung in das Windows-7-AppCompat-Artefakt: wo es lebt, was es aufzeichnet und warum es 2026 immer noch in Triage-Fällen auftaucht.

  2. Das .bcf-Format, Byte für Byte

    Eine praxisnahe Lektüre des binären RecentFileCache.bcf-Formats mit einem Hex-Dump, einem decodierten Datensatz und den Sonderfällen, die ein Parser handhaben muss.

  3. Application Experience & ProgramDataUpdater: wie .bcf befüllt wird

    Ein Durchgang durch den Windows-7-Dienst und die geplante Aufgabe, die RecentFileCache.bcf schreiben, und was dieser Lebenszyklus für Triage-Zeitfenster bedeutet.

  4. RecentFileCache vs Amcache vs Prefetch vs ShimCache

    Vier Windows-Evidence-of-Execution-Artefakte nebeneinander: was jedes speichert, was nicht, und welches du zuerst öffnen solltest.

  5. RecentFileCache.bcf von Live- und Offline-Systemen erfassen

    Praxisleitfaden zum Ziehen von RecentFileCache.bcf in drei Szenarien: ein laufender Windows-7-Endpoint, ein forensisches Disk-Image und eine Volume Shadow Copy.

  6. Triage: verdächtige Einträge in RecentFileCache erkennen

    Praktischer Leitfaden zu Pfad-Heuristiken, Basename-Eigenheiten und Laufwerk-Mustern, die eine Liste gecachter Pfade in Untersuchungs-Leads verwandeln.

  7. RecentFileCache-Befunde validieren: Pivots und False Positives

    Was zu tun ist, nachdem ein verdächtiger Eintrag auftaucht: Ausführung bestätigen, was zu kreuzen ist, und die False-Positive-Muster, die Analysten kalt erwischen.

  8. RecentFileCache-Manipulation erkennen

    Wie Angreifer RecentFileCache.bcf unterdrücken, vergiften oder wipen — und die Event-Log-, Scheduled-Task- und Dateisystem-Signale, die sie dabei erwischen.

All posts in this series

Eine kurze Einführung in das Windows-7-AppCompat-Artefakt: wo es lebt, was es aufzeichnet und warum es 2026 immer noch in Triage-Fällen auftaucht.
Eine praxisnahe Lektüre des binären RecentFileCache.bcf-Formats mit einem Hex-Dump, einem decodierten Datensatz und den Sonderfällen, die ein Parser handhaben muss.
Ein Durchgang durch den Windows-7-Dienst und die geplante Aufgabe, die RecentFileCache.bcf schreiben, und was dieser Lebenszyklus für Triage-Zeitfenster bedeutet.
Vier Windows-Evidence-of-Execution-Artefakte nebeneinander: was jedes speichert, was nicht, und welches du zuerst öffnen solltest.
Praxisleitfaden zum Ziehen von RecentFileCache.bcf in drei Szenarien: ein laufender Windows-7-Endpoint, ein forensisches Disk-Image und eine Volume Shadow Copy.
Praktischer Leitfaden zu Pfad-Heuristiken, Basename-Eigenheiten und Laufwerk-Mustern, die eine Liste gecachter Pfade in Untersuchungs-Leads verwandeln.
Was zu tun ist, nachdem ein verdächtiger Eintrag auftaucht: Ausführung bestätigen, was zu kreuzen ist, und die False-Positive-Muster, die Analysten kalt erwischen.
Wie Angreifer RecentFileCache.bcf unterdrücken, vergiften oder wipen — und die Event-Log-, Scheduled-Task- und Dateisystem-Signale, die sie dabei erwischen.