Was ist Amcache.hve? (Glossar)
Amcache.hve ist die Registry-Hive, in die Windows jede PE schreibt, die der Compatibility Appraiser inventarisiert. SHA-1 der ersten 31 MiB, vollständiger Pfad, Herausgeber, Linkdatum und die Last-Write-Zeit des Keys. Eine Datei pro Host. Das war's.
Es ist eines von vier Artefakten, die jeder Windows-IR-Mensch zuerst lernt, neben Prefetch, Shimcache und dem Sicherheits-Ereignisprotokoll. Es ist auch dasjenige, das die Binärdatei, die es aufzeichnet, am verlässlichsten überlebt, weshalb es in fast jedem Bericht landet.
Das Wesentliche#
- Pfad:
C:\Windows\AppCompat\Programs\Amcache.hve - Transaktionslogs:
Amcache.hve.LOG1,Amcache.hve.LOG2. Nehmen Sie sie. Beide. Jedes Mal. - Format: Standard-Registry-Hive (regf). Die Parser, die SYSTEM lesen, lesen auch das.
- Schreiber: die geplante Aufgabe des Compatibility Appraisers.
- Kadenz: etwa täglich auf Windows 10/11, langsamer auf Server, wöchentlich auf gehärtetem Server Core.
- Aufbewahrung: lang. Mehrere Jahre auf Workstations, die schon eine Weile laufen.
- Abdeckung: PE-Dateien (EXE, DLL), Treiber, Geräte, installierte Anwendungen.
Warum es zählt#
Die Hive überlebt die Binärdateien, die sie aufzeichnet. Ein Angreifer, der ein Tool von der Platte wischt, hinterlässt Pfad, Hash, Herausgeber und Inventarzeit in der Hive, oft monatelang. Das größte forensische Geschenk, das Microsoft Verteidigern je gemacht hat.
Für die Langform-Referenz siehe die Vollständige Amcache-Referenz. Für den Speicherort der Datei und wie man sie abgreift, siehe Wo Amcache.hve auf der Platte liegt. Für das Innere der Hive siehe Amcache-Registry-Struktur.
Verwandte Begriffe#
Verwandte Beiträge
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.
- Was ist KeyLastWriteTimestamp in Amcache? (Glossar)
Die Registry-Schreibzeit des Amcache-Keys. Das Nächste an 'wann der Appraiser das aufgezeichnet hat'. Das Feld, das neue Analysten am häufigsten mit LinkDate verwechseln.
- Was ist Root\InventoryApplicationFile? (Glossar)
Der Hauptschlüssel in Amcache. Ein Unterschlüssel pro PE, das der Appraiser inventarisiert hat, mit Hash, Pfad, Hersteller, Linkdatum und einem Registry-Schreibzeitstempel. Wo 90 % der Analystenzeit verbracht werden.