Ist Amcache.hve eine Protokolldatei?

Nein. Amcache.hve ist eine Windows-Registry-Hive, keine Protokolldatei.

Sie verwendet dasselbe Binärformat wie die Hives SYSTEM, SOFTWARE, SAM, SECURITY und NTUSER.DAT. Die Datei ist ein strukturierter Baum aus Schlüsseln und typisierten Werten — hinzugefügt, aktualisiert und gelegentlich direkt gelöscht — nicht ein Append-only-Strom von Ereignissen.

Konkret:

  • Eine Protokolldatei zeichnet Ereignisse sequenziell auf. Jede Zeile ist ein diskretes Ereignis; Leser parsen Zeile für Zeile.
  • Eine Registry-Hive speichert einen Baum aus Schlüsseln (wie Ordner) und Werten (typisiert: REG_SZ, REG_DWORD, REG_QWORD usw.). Leser laufen den Baum ab.

Amcache enthält beispielsweise einen Unterschlüssel pro inventarisiertem PE-Binärprogramm unter Root\InventoryApplicationFile. Jeder Unterschlüssel enthält 15-20 typisierte Werte: Name, Pfad, SHA-1-Hash, Link-Datum, Herausgeber, Version usw.

Was ist mit Amcache.hve.LOG1 und Amcache.hve.LOG2?#

Das sind Log-Dateien — aber es sind Registry- Transaktionsprotokolle, keine Ereignisprotokolle. Sie sind derselbe Write-Ahead-Log-Mechanismus, den jede Registry-Hive verwendet, um jüngste Schreibvorgänge zu puffern, bevor sie in die Haupt-Hive-Datei geschrieben werden. Sie sind nicht menschenlesbar und werden nicht für Event-Auditing verwendet.

Sammeln Sie immer alle drei Dateien zusammen — die Hive und beide Logs. Wenn Sie nur die Hive nehmen, können Sie lautlos die jüngsten Schreibvorgänge verpassen, die sich noch in den Logs befinden.

Für die Dateipfade und den Sammel-Workflow siehe Wo Amcache.hve auf der Festplatte liegt.

Wie man Amcache.hve liest#

Sie benötigen einen hive-fähigen Parser:

  • AmcacheParser.exe (Eric Zimmerman) — der kanonische Windows-seitige Parser. Produziert CSV pro Inventory*- Kategorie. Siehe den AmcacheParser-Komplettleitfaden.
  • RegRipper amcache-Plugin (Harlan Carvey) — Text-Bericht- Ausgabe. Siehe RegRipper amcache-Plugin.
  • Der browserbasierte Parser dieser Seite — Rust + WebAssembly, keine Installation. Ziehen Sie die Hive auf die Startseite.

Für den breiteren Artefakt-Kontext siehe die vollständige Amcache-Referenz.

Tagsqaforensikwindowsamcache

Verwandte Beiträge

  • Warum ist meine Amcache.hve leer?

    Drei häufige Ursachen: Der Compatibility Appraiser ist deaktiviert, der Host wurde frisch installiert oder Sie sammeln von einem Server / Server Core, auf dem der Appraiser viel seltener läuft.

  • Wo ist der Amcache-Registry-Schlüssel?

    Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.

  • Was enthält Amcache.hve?

    Amcache.hve enthält Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber und jedes verbundene Gerät, das der Windows Compatibility Appraiser gesehen hat — mit SHA-1-Hashes, Pfaden, Herausgebern und Zeitstempeln.

  • Was ist eine .pf-Datei vs. ein Amcache-Eintrag?

    .pf-Dateien sind Windows-Prefetch-Datensätze — Beweis, dass ein Binärprogramm ausgeführt wurde, mit Run-Zeitstempeln und Listen geladener Dateien. Amcache-Einträge zeichnen Präsenz auf, mit dem SHA-1-Hash und Metadaten.

Zurück zu allen Beiträgen