AmcacheParser-Download-Leitfaden: offizielle Quellen, Mirrors und Verifizierung
Dies ist der praktische Leitfaden, AmcacheParser auf einen Analystenrechner zu bekommen — egal, ob Sie vollen Internetzugang haben, einen restriktiven Proxy oder ein vollständig isoliertes Labor. Für den Hintergrund, was das Tool tut, siehe den vollständigen AmcacheParser-Leitfaden.
Laden Sie immer aus einer überprüfbaren Quelle herunter. Eric Zimmermans Tools werden weit gemirrort und ebenso weit typo-gesquattet. Die offiziellen Quellen sind
ericzimmerman.github.ioundgithub.com/EricZimmerman. Alles andere — verifizieren, bevor Sie ausführen.
Offizielle Download-Quellen#
1. Get-ZimmermanTools.ps1 (für Analysten empfohlen)#
Das Installationsskript hält die gesamte Suite — einschließlich AmcacheParser — mit einem Befehl aktuell. Es lädt nur die Framework-dependent .NET-Builds, was den Footprint klein hält.
# Aus einer erhöhten PowerShell ausführen
New-Item -ItemType Directory -Path 'C:\Tools\ZTools' -Force | Out-Null
Set-Location 'C:\Tools\ZTools'
Invoke-WebRequest `
-Uri 'https://raw.githubusercontent.com/EricZimmerman/Get-ZimmermanTools/master/Get-ZimmermanTools.ps1' `
-OutFile 'Get-ZimmermanTools.ps1'
# Die .NET-6-Builds holen (funktioniert auf Windows Server 2019+ ohne zusätzliches Setup)
.\Get-ZimmermanTools.ps1 -Dest 'C:\Tools\ZTools' -NetVersion 6Nach Abschluss haben Sie:
C:\Tools\ZTools\
└── net6\
└── AmcacheParser\
├── AmcacheParser.exe
├── AmcacheParser.dll
└── ... (.NET-Runtime-Abhängigkeiten)
Führen Sie das Skript wöchentlich (oder über einen geplanten
Task) erneut aus, um aktuell zu bleiben. Das Skript schreibt
außerdem eine !!!RemoteFileDetails.csv daneben mit dem SHA-1
jedes heruntergeladenen Archivs — nützlich als Beweismittel für
die Chain of Custody, wenn Sie Ihren eigenen internen Mirror
veröffentlichen.
2. Direkter Download von ericzimmerman.github.io#
Wenn Ihre Egress-Richtlinie rohes GitHub blockiert, aber
github.io erlaubt, listet die Startseite
ericzimmerman.github.io jedes
Tool mit einem direkten ZIP-Link. Herunterladen, entpacken, und
AmcacheParser.exe läuft direkt.
3. KAPE-Bundle#
KAPE
liefert AmcacheParser in seinem Modules\bin-Verzeichnis aus,
nachdem Sie Get-KAPEUpdate.ps1 ausgeführt haben. Sie laden
AmcacheParser nicht separat herunter — es kommt als Abhängigkeit
des AmcacheParser-Moduls. Das ist der richtige Weg, wenn Sie
bereits auf KAPE für die Sammlung standardisieren.
4. Velociraptor-Artefakt#
Velociraptors Windows.Forensics.Amcache-Artefakt lädt
AmcacheParser beim ersten Lauf und cached es auf dem Endpoint
unter Tools. Sie konfigurieren die Quell-URL einmal in den
Tools-Einstellungen des Servers; danach zieht jeder Hunt, der
es benötigt, aus Ihrem Cache.
Download verifizieren#
Eric veröffentlicht derzeit keine getrennten Signaturen, daher ist der praktische Verifizierungspfad:
- TLS-Pinning auf
github.io/github.com— nicht verhandelbar. Holen Sie AmcacheParser nicht über einfaches HTTP von einem zufälligen Mirror. - Erfassen Sie den SHA-256 des Archivs beim ersten Download, speichern Sie ihn in Ihrer internen Artefakt-Registry, und vergleichen Sie jeden weiteren Abruf mit dem gespeicherten Wert.
# Hash beim ersten Mal erfassen
Get-FileHash -Algorithm SHA256 '.\AmcacheParser.zip' |
Format-List Algorithm, Hash, PathWenn Ihre Organisation einen internen Paket-Mirror betreibt (Artifactory, Nexus, ein Git-LFS-Bucket), ist das Standardmuster:
- Einmal über das offene Internet auf einem sauberen Build-Host herunterladen.
- Hashen, mit Ihrem internen Signaturschlüssel signieren und in den Mirror hochladen.
- Jeden Analystenrechner aus dem signierten internen Mirror ziehen lassen.
So muss ein Analyst um 02:00 Uhr bei einem P1 nie unter Zeitdruck eine Vertrauensentscheidung über einen zufälligen Mirror treffen.
Systemanforderungen#
| Komponente | Anforderung |
|---|---|
| OS (nativ) | Windows 10 / 11 / Server 2016+ |
| OS (plattformübergreifend) | Linux / macOS via dotnet AmcacheParser.dll |
| Runtime | .NET 6 oder .NET 9 (passend zum heruntergeladenen Build) |
| RAM | ~200 MB pro Hive-Parse; viel weniger für typische Hives |
| Disk | Vernachlässigbar (CSV-Ausgabe normalerweise <50 MB pro Host) |
Eric veröffentlicht sowohl Framework-dependent- als auch Self-contained-Builds. Der Framework-dependent-Build ist ~2 MB groß, benötigt aber die installierte .NET-Runtime. Der Self-contained-Build ist ~80 MB groß und läuft auf einem Host ohne installiertes .NET — wählen Sie diesen für Triage-USB-Sticks.
Air-Gap-Installationsmuster#
Für Labore ohne Internet-Egress:
- Auf einem internetverbundenen Build-Host führen Sie
Get-ZimmermanTools.ps1 -Dest .\offline -NetVersion 6aus. - Fügen Sie das Self-contained-AmcacheParser-Archiv von
ericzimmerman.github.iohinzu, damit Analysten auf Hosts ohne .NET trotzdem arbeiten können. - Zippen Sie das Verzeichnis
offline\zusammen mit dem!!!RemoteFileDetails.csv-Manifest. Hashen Sie das ZIP. - Übertragen Sie das ZIP über den Air-Gap auf beschriftete Wechselmedien oder durch Ihre Einweg-Diode.
- Auf der Air-Gap-Seite verifizieren Sie den Hash gegen das Manifest, bevor Sie entpacken.
Wiederholen Sie die Prozedur in einer festgelegten Kadenz (monatlich ist typisch), damit Ihr Air-Gap-Labor nicht mehr als ein Release hinter dem öffentlichen Build hinterher hinkt.
Eine installationsfreie Alternative für Triage#
Wenn „AmcacheParser installieren" selbst der Blocker ist — abgeschlossener Kiosk, Nicht-Windows-Analysten-Laptop, Klasse mit Studenten — ist der auf dieser Seite gehostete Parser eine Neuimplementierung des Lesepfads in Rust + WebAssembly. Legen Sie eine Hive auf die Startseite und Sie erhalten dieselben Kategorien und Felder, ohne irgendetwas zu installieren. Die Datei wird vollständig in Ihrem Browser geparst; nichts wird hochgeladen.
Die Browser-Version deckt Triage und Lehre ab. Für vollständige
Untersuchungen auf einem Windows-Analystenrechner verwenden Sie
Erics offizielles AmcacheParser.exe — es ist die kanonische
Implementierung und produziert das CSV-Format, das jedes
nachgelagerte Tool erwartet.
Siehe auch#
- Vollständiger AmcacheParser-Leitfaden — die kanonische Referenz zum Tool.
- AmcacheParser-CLI-Spickzettel — jede Option, mit Praxisbeispielen.
- AmcacheParser-Ausgabespalten erklärt — was jede CSV-Spalte bedeutet.
- Amcache für Windows-Forensik verstehen — was die Hive aufzeichnet und warum es wichtig ist.
Verwandte Beiträge
- AmcacheParser-Ausgabespalten erklärt: jedes CSV-Feld dekodiert
Eine Feld-für-Feld-Referenz für die CSV-Ausgabe von AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile und jede andere Spalte, mit den Pivots, die in DFIR zählen.
- AmcacheParser: der vollständige Leitfaden zu Eric Zimmermans Tool
Der definitive Leitfaden zu AmcacheParser — was es tut, wie man Eric Zimmermans CLI installiert und ausführt, wie man die CSV-Ausgabe liest und wann die browserbasierte Alternative die bessere Wahl ist.
- AmcacheParser-CLI-Spickzettel: jede Option, mit Praxisbeispielen
Eine praktische Kommandozeilen-Referenz für AmcacheParser von Eric Zimmerman — jede Option erklärt, mit KAPE-, Velociraptor- und PowerShell-Batch-Verarbeitungsmustern zum Kopieren und Einfügen.
- Amcache-Parser im Vergleich: AmcacheParser CLI, Browser-Tool, Volatility, RegRipper
Direkter Vergleich der vier Wege, eine Windows-Amcache.hve-Hive 2026 zu parsen — Eric Zimmermans AmcacheParser CLI, Browser-Tool, Volatility 3 und RegRipper.