Amcache-Parser-Vergleich: AmcacheParser, Browser-Tool, Volatility, RegRipper
TL;DR — die Vier-Tool-Entscheidungsregel. Einmalige Triage ohne Installation: Browser-Tool. Batch-/ KAPE-/Velociraptor-Pipeline: Eric Zimmermans AmcacheParser CLI. Memory-Forensik-Workflow mit anderen Registry-Plugins: Volatility 3. Bereits standardisiert auf ein Registry-Plugin- Framework: RegRippers amcache.pl.
Vier ausgereifte Tools parsen Amcache.hve im Jahr 2026. Sie
produzieren überlappende Ausgaben aus derselben Hive — die Frage ist,
welches in Ihren Workflow passt, nicht welches „korrekt" ist.
Diese Seite vergleicht sie auf den Dimensionen, die für Analysten wirklich zählen: Installations-Footprint, unterstützte Plattformen, Ausgabeformat, Batch-Fähigkeit, und wo jedes Tool seine Stärken hat.
Für das Artefakt selbst (was Amcache ist, was es aufzeichnet, Feldsemantik) siehe die vollständige Amcache-Referenz. Für eine vertiefte Behandlung jedes einzelnen Tools siehe die unten verlinkten Leitfäden.
Vergleich auf einen Blick#
| Tool | Installation | Plattform | Ausgabe | Batch / Scripting | GUI | Am besten für |
|---|---|---|---|---|---|---|
| AmcacheParser von Eric Zimmerman | .NET-Runtime | Windows nativ, Linux/macOS über dotnet |
Eine CSV pro Inventory*-Kategorie | Erstklassig | ❌ (nur CLI) | KAPE-/Velociraptor-Pipelines, Batch-Hosts |
| amcacheparser.com (Browser) | Keine | Jeder moderne Browser (WebAssembly) | Interaktive Tabelle, CSV, JSON | Eine Hive pro Sitzung | ✅ | Einmalige Triage, installationsfreie Umgebungen, Training |
Volatility 3 (windows.registry.amcache) |
Volatility 3 + Python 3 | Plattformübergreifend | Text / JSON via volshell | Scriptbar | ❌ | Memory-Forensik-Workflows, kombiniert mit anderen Registry-Plugins |
RegRipper (amcache.pl) |
Perl + RegRipper | Plattformübergreifend | Textreport | Scriptbar | ❌ | Teams bereits standardisiert auf RegRipper |
Eric Zimmermans AmcacheParser (CLI)#
Der De-facto-Standard. Eine .NET-Konsolenanwendung, die Amcache.hve
liest und sieben CSVs schreibt — eine pro Inventory*-Kategorie
(AssociatedFileEntries, UnassociatedFileEntries, ProgramEntries,
ShortcutEntries, DriverBinaries, DevicePnps, DeviceContainers) plus
die Legacy-Schemata Programs / File, wo vorhanden.
Warum es das Feld dominiert
- KAPE und Velociraptor rufen es direkt auf. Wenn Ihre Collection-Pipeline eines der beiden Tools nutzt, ist AmcacheParser bereits in der Schleife.
- Feldsemantik ist die dokumentierte Referenz. Jede andere Parser-Ausgabe wird an den CSV-Spalten von AmcacheParser kalibriert.
- Scriptbar. Eine ausführbare Datei, eine Eingabe, deterministische CSV-Ausgabe → trivial aus PowerShell, bash oder einem SIEM- Ingestion-Job ansteuerbar.
Wo es klemmt
- Erfordert .NET-Runtime. Nativ unter Windows; unter Linux/macOS
benötigen Sie installiertes
dotnet. Kein Problem in einer forensischen VM, gelegentlich unbequem auf einem Triage-Arbeitsplatz. - Nur CLI. Keine interaktive Filterung, keine Risikohinweise, keine Visualisierung. Sie ingestieren die CSVs in das, was Sie bereits nutzen (Timeline Explorer, Excel, Splunk).
Vollständige Abdeckung: Vollständiger AmcacheParser-Leitfaden · CLI-Cheatsheet · Ausgabespalten erklärt · Download-Leitfaden.
amcacheparser.com (Browser, WebAssembly)#
Das Tool dieser Seite. Der Hive-Parser ist in Rust geschrieben, zu WebAssembly kompiliert, und läuft komplett im Browser-Tab. Die Datei, die Sie auf der Seite ablegen, wird von JavaScript in den Speicher gelesen und an das WebAssembly-Modul übergeben — es findet kein Upload statt.
Warum Analysten danach greifen
- Null Installation. Jeder moderne Browser funktioniert — Chrome, Firefox, Safari, Edge — auf jedem OS, einschließlich Air-Gapped- Umgebungen nach einem einmaligen Spiegel der statischen Seite.
- Visuelle Triage. Kategorien auf Tabs, Risikohinweise pro Zeile (unsignierte PE, AppData/Temp-Pfade, unsignierte Treiber), Inline-Suche, Unassociated-only-Filter, CSV-Export pro Kategorie.
- Privacy by Design. Da nichts das Gerät verlässt, ist das Tool sicher für Hives, die Daten-Handling-Richtlinien unterliegen, die Uploads verbieten.
Wo es klemmt
- Eine Hive pro Sitzung. Batch-Verarbeitung von 200 Hosts? Nutzen Sie die CLI.
- Keine KAPE-/Velociraptor-Integration. Das Browser-Tool ist für den menschlichen Triage-Schritt, nicht für den Collection-Schritt.
Volatility 3 (windows.registry.amcache)#
Ein Registry-Analyse-Plugin innerhalb von Volatility 3. Läuft gegen eine Memory-Capture (wo die Hive aus In-Memory-Registry-Seiten rekonstruiert wird) oder gegen eine Offline-Registry-Hive auf der Festplatte.
Warum darauf zurückgreifen
- Lebt neben anderen Registry-Plugins. Wenn Sie Volatility ohnehin
für eine Memory-Untersuchung laufen lassen, ist Amcache-Analyse nur
einen
vol.py -f memory.raw windows.registry.amcacheentfernt. - Plattformübergreifend. Reines Python, keine .NET-Abhängigkeit.
Wo es klemmt
- Weniger Detail als AmcacheParser. Das Plugin liefert die Kernfelder, repliziert aber nicht den vollen Per-Kategorie-Schema- Breakout von AmcacheParser.
- Erfordert Volatility-Setup. Kein Erst-Triage-Tool für jemanden, der nur eine Hive ansehen möchte.
Siehe Volatility-Plugins für die Amcache-Analyse für die vollständige Plugin-Referenz.
RegRipper (amcache.pl)#
RegRipper ist ein Perl-basiertes Registry-Analyse-Framework mit
Per-Hive-Plugin-System. Das amcache.pl-Plugin liest die Hive und
produziert einen Klartext-Report.
Warum darauf zurückgreifen
- Plugin-Ökosystem. Wenn Ihr Team RegRipper bereits für SYSTEM/SOFTWARE/NTUSER-Analyse einsetzt, hält das Hinzufügen des Amcache-Plugins alles im selben Workflow.
- Bekannt in der DFIR. RegRipper existiert seit 2006 — sein Ausgabeformat ist einer Analysten-Generation vertraut.
Wo es klemmt
- Klartext-Ausgabe. Weniger maschinenfreundlich als CSV für SIEM-Ingestion.
- Weniger aktiv entwickelt als AmcacheParser. Die Feldabdeckung kann hinter den neuesten Windows-Schema-Änderungen zurückbleiben.
Siehe RegRipper-Amcache-Plugin-Referenz für die Plugin-Details.
Entscheidungsregeln#
Die ehrliche Antwort auf „welchen Parser soll ich verwenden?" lautet alle, in unterschiedlichen Kontexten:
- Single-Host-Untersuchung, Ad-hoc-Frage, keine Installation möglich → Browser-Parser.
- Multi-Host-Engagement, KAPE-/Velociraptor-Collection → Eric Zimmermans AmcacheParser CLI, der in Timeline Explorer oder Ihr SIEM einspeist.
- Memory-Forensik-Workflow, Hive aus RAM rekonstruiert →
windows.registry.amcache-Plugin von Volatility 3. - Bereits auf RegRipper für die anderen Registry-Hives
standardisiert →
amcache.pl-Plugin von RegRipper.
Für die meisten DFIR-Teams ist das praktische Setup EZ AmcacheParser in der Collection-Pipeline + Browser-Parser für den menschlichen Triage-Schritt — die CLI handhabt Batch und Provenance, der Browser handhabt den Moment „was bedeutet dieser Eintrag eigentlich?".
Siehe auch#
- Vollständige Amcache-Referenz — das Artefakt selbst, jedes Feld dekodiert.
- Amcache vs ShimCache, Amcache vs Prefetch, Amcache vs SRUM — wann Amcache das richtige Artefakt ist und wann nicht.
- AmcacheParser-CLI-Cheatsheet — jedes Flag mit konkreten Beispielen.
Verwandte Beiträge
- AmcacheParser-Ausgabespalten erklärt: jedes CSV-Feld dekodiert
Eine Feld-für-Feld-Referenz für die CSV-Ausgabe von AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile und jede andere Spalte, mit den Pivots, die in DFIR zählen.
- AmcacheParser-Download-Leitfaden: offizielle Quellen, Mirrors und Verifizierung
Alle Wege, AmcacheParser von Eric Zimmerman herunterzuladen — Get-ZimmermanTools, direkter Download, KAPE, Velociraptor — mit Prüfsummen-Verifizierung und Air-Gap-Installationsmustern.
- AmcacheParser: der vollständige Leitfaden zu Eric Zimmermans Tool
Der definitive Leitfaden zu AmcacheParser — was es tut, wie man Eric Zimmermans CLI installiert und ausführt, wie man die CSV-Ausgabe liest und wann die browserbasierte Alternative die bessere Wahl ist.
- AmcacheParser-CLI-Spickzettel: jede Option, mit Praxisbeispielen
Eine praktische Kommandozeilen-Referenz für AmcacheParser von Eric Zimmerman — jede Option erklärt, mit KAPE-, Velociraptor- und PowerShell-Batch-Verarbeitungsmustern zum Kopieren und Einfügen.