Was ist Amcache.hve? (Glossar)
Amcache.hve ist eine Windows-Registry-Hive, die jedes
PE-Binärprogramm aufzeichnet, das der Microsoft Compatibility
Appraiser auf dem Host inventarisiert hat. Jeder Inventareintrag
enthält den vollständigen Pfad der Datei, einen SHA-1-Hash der
ersten ~31 MiB, das PE-Link-Datum, den Herausgeber, die Version
und einen Zeitstempel dafür, wann der Appraiser den Eintrag
aufgezeichnet hat.
Es ist eines der vier grundlegenden Windows-DFIR-Artefakte — neben Prefetch, ShimCache und dem Sicherheitsereignisprotokoll — und die beste einzelne Quelle für Nach-Löschungs-Beweise dafür, welche Binärprogramme auf einem Host vorhanden waren.
Auf einen Blick#
- Pfad:
C:\Windows\AppCompat\Programs\Amcache.hve - Begleitdateien:
Amcache.hve.LOG1,Amcache.hve.LOG2(Transaktionsprotokolle — immer zusammen mit der Hive sammeln) - Format: Standard-Windows-Registry-Hive (dasselbe wie
SYSTEM,SOFTWARE) - Befüllt von: dem geplanten Task Compatibility Appraiser
- Aktualisierungstakt: ungefähr täglich auf Windows-10/11-Workstations
- Aufbewahrung: Monate bis Jahre auf langlebigen Hosts
- Aufgezeichnet: PE-Dateien (EXE, DLL), Treiber, Geräte, Anwendungen
Warum Analysten sich dafür interessieren#
Amcache überlebt die Binärprogramme, die es aufzeichnet. Ein Wiper kann eine Datei von der Festplatte löschen; der Inventar-Snapshot — einschließlich Hash, Pfad und Metadaten der Datei — bleibt typischerweise lange danach in der Hive erhalten. Das macht Amcache zum zuverlässigsten Windows-Artefakt, um die Frage zu beantworten: „War dieses Binärprogramm jemals auf diesem Host vorhanden?", wenn das Binärprogramm selbst weg ist.
Für die breitere Artefakt-Referenz siehe die vollständige Amcache-Referenz; für den Pfad und den Sammel-Workflow der Datei siehe Wo Amcache.hve auf der Festplatte liegt; für die Registry-Struktur innerhalb der Hive siehe Amcache-Registry-Struktur.
Verwandte Begriffe#
- Compatibility Appraiser — der geplante Task, der Amcache befüllt.
- InventoryApplicationFile — der zentrale Registry-Schlüssel innerhalb von Amcache.
- FileId — der SHA-1-basierte Inhalts- Identifikator, den jeder Eintrag trägt.
- ShimCache und Prefetch — benachbarte Artefakte im Windows-Ausführungsbeweis-Stack.
Um eine Amcache.hve-Datei in Ihrem Browser zu erkunden, ohne
etwas zu installieren, ziehen Sie sie auf die
Parser-Startseite.
Verwandte Beiträge
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Dieselbe ProgramId auf verschiedenen Hosts bedeutet dieselbe Anwendungsinstallation.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-Header-TimeDateStamp, den Amcache aufzeichnet — wann das Binärprogramm kompiliert oder gelinkt wurde, nicht wann es auf dem Host erschien.
- Was ist KeyLastWriteTimestamp in Amcache? (Glossar)
KeyLastWriteTimestamp ist die Last-Write-Zeit eines Amcache-Eintrags auf Registry-Ebene — was am nächsten daran kommt, was Amcache als 'wann der Appraiser diese Datei aufgezeichnet hat' offenlegt.
- Was ist Root\InventoryApplicationFile? (Glossar)
InventoryApplicationFile ist der zentrale Amcache-Registry-Schlüssel — ein Unterschlüssel pro PE-Binärprogramm, das vom Appraiser inventarisiert wurde, mit Pfad, SHA-1, Herausgeber, Link-Datum und Zeitstempeln.