Ist AmcacheParser kostenlos?

Ja. AmcacheParser ist für jede Verwendung kostenlos — persönlich, kommerziell, intern, für Beratungseinsätze, Regierungsarbeit, Training. Es wird unter der MIT-Lizenz von Eric Zimmerman auf GitHub und unter ericzimmerman.github.io veröffentlicht.

Es gibt keine Tiers, keine Nag-Screens, keine Telemetrie, kein Konto, keine Limits.

Wer es veröffentlicht#

Eric Zimmerman ist ein ehemaliger FBI Special Agent und aktuell Senior Director bei Kroll. Er veröffentlicht seit über einem Jahrzehnt Open-Source-DFIR-Tools. AmcacheParser ist eines von rund einem Dutzend Tools, die er pflegt — die anderen sind:

  • MFTECmd$MFT, $LogFile, $J, $Boot, $SDS-Parser
  • RECmd — Registry-Kommandozeile und Batch-Prozessor
  • RBCmd — Papierkorb-Parser
  • PECmd — Prefetch-Parser
  • EvtxECmd — Windows-Ereignisprotokoll-Parser
  • JLECmd — Jump-List-Parser
  • LECmd — LNK-Parser
  • SBECmd — Shellbag-Explorer-CLI
  • AppCompatCacheParser — ShimCache-Parser
  • SrumECmd — SRUM-Parser

Alle kostenlos, alle MIT-lizenziert.

Kommerzielle Alternativen#

Mehrere kommerzielle DFIR-Suites parsen Amcache ebenfalls als Teil größerer Pakete:

  • Magnet AXIOM — die integrierte DFIR-Plattform von Magnet Forensics.
  • X-Ways Forensics — deutsche DFIR-Suite.
  • EnCase — OpenTexts klassische Forensik-Plattform.
  • FTK — Exterros Forensik-Toolkit.

Diese sind kostenpflichtig (oft $$$$), bündeln aber Dutzende von Artefakt-Parsern, Beweismittelverwaltungs-Funktionen und Zertifizierungen. Für Amcache speziell — also wenn Sie nur die Hive parsen müssen — ist AmcacheParser die kanonische kostenlose Option und produziert Ausgaben, die die meisten kostenpflichtigen Plattformen einlesen können.

Gibt es einen Haken?#

Funktional: nein. Praktisch zwei zu beachtende Einschränkungen:

  1. Kein Anbieter-Support. AmcacheParser ist Open Source. Wenn Sie auf einen Bug stoßen, ist der richtige Weg ein GitHub-Issue, kein Support-Ticket. Eric und die Community sind reaktionsschnell, aber es gibt kein SLA.
  2. Windows-first. Das Tool läuft plattformübergreifend über .NET, aber die Dokumentation und das Ökosystem gehen von Windows aus. Linux-/macOS-Nutzer folgen dem Linux/macOS-Leitfaden.

Was ist mit dieser Seite?#

Der browserbasierte Parser unter amcacheparser.com ist ebenfalls kostenlos und läuft vollständig clientseitig. Er ist eine unabhängige Reimplementierung des Amcache-Lesepfads in Rust

  • WebAssembly, entwickelt für Triage und Ausbildung. Er ist nicht mit Eric oder Kroll verbunden. Die Datei, die Sie auf die Seite ziehen, wird in Ihrem Browser geparst und nie an einen Server gesendet.

Für vollständige Untersuchungen auf einer Windows-Analysten- Workstation verwenden Sie Erics AmcacheParser.exe. Für Triage oder No-Install-Szenarien verwenden Sie die browserbasierte Version. Beide sind kostenlos.

Verwandt#

Tagsqaamcacheparserlizenzierung

Verwandte Beiträge

  • Wer hat AmcacheParser erstellt?

    Eric Zimmerman, ein ehemaliger FBI Special Agent und aktueller Senior Director bei Kroll, hat AmcacheParser als Teil seiner Open-Source-DFIR-Tool-Suite erstellt.

  • Warum ist meine Amcache.hve leer?

    Drei häufige Ursachen: Der Compatibility Appraiser ist deaktiviert, der Host wurde frisch installiert oder Sie sammeln von einem Server / Server Core, auf dem der Appraiser viel seltener läuft.

  • Wo ist der Amcache-Registry-Schlüssel?

    Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.

  • Was enthält Amcache.hve?

    Amcache.hve enthält Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber und jedes verbundene Gerät, das der Windows Compatibility Appraiser gesehen hat — mit SHA-1-Hashes, Pfaden, Herausgebern und Zeitstempeln.

Zurück zu allen Beiträgen