RegRipper amcache-Plugin: was es tut und wann man es verwendet
RegRipper von
Harlan Carvey ist der ältere der beiden weit verbreiteten
Registry-Parser in der DFIR — RECmd der Zimmerman-Suite ist der
neuere. RegRippers Plugin-Architektur unterstützt seit Jahren
Amcache über das amcache-Plugin und seine Varianten
(amcache_tln für Timeline-Ausgabe).
Wenn Sie RegRipper bereits für den Rest Ihrer Registry-Arbeit
verwenden, ist das amcache-Plugin das richtige Tool für
interaktives, textbasiertes Parsen von Amcache.hve. Wenn
Sie strukturierte CSV für nachgelagerte Tools brauchen, ist
AmcacheParser.exe die bessere Wahl.
Diese Seite behandelt, was das RegRipper-amcache-Plugin tut,
wie seine Ausgabe aussieht, wann man darauf zurückgreift und wie
es sich mit AmcacheParser vergleicht.
Für die breitere Artefakt-Referenz siehe die vollständige Amcache-Referenz; für AmcacheParser speziell siehe den vollständigen Leitfaden zu AmcacheParser.
Was das Plugin tut#
Das amcache-Plugin öffnet Amcache.hve, durchläuft dieselben
Schlüssel, die AmcacheParser durchläuft
(Root\InventoryApplicationFile, das Legacy Root\Programs usw.,
je nach Plugin-Variante), dekodiert die typisierten Werte und
schreibt einen Klartext-Bericht auf die Standardausgabe.
Typischer Aufruf:
# Linux / WSL / macOS mit Perl
rip.pl -r /path/to/Amcache.hve -p amcache > amcache_report.txt
# Windows
rip.exe -r C:\Triage\Amcache.hve -p amcache > amcache_report.txtDer Bericht ist nach Schlüssel organisiert und enthält für jeden Eintrag einen menschenlesbaren Block mit Dateipfad, Hash, Publisher, Version, Zeitstempeln usw. Es gibt keine CSV pro Zeile; die Ausgabeeinheit ist der formatierte Textblock.
Varianten#
Im RegRipper-Repository existieren einige verwandte Plugins:
| Plugin | Ausgabe |
|---|---|
amcache |
Standard-Text-Bericht pro Schlüssel. |
amcache_tln |
TLN-Format (Timeline)-Ausgabe, geeignet zum Einlesen in TLN-Frameworks. |
appcompatcache |
ShimCache-Parser (anderes Artefakt — siehe Amcache vs ShimCache). |
Verwenden Sie das, das zu Ihrem nachgelagerten Tooling passt.
Wie die Ausgabe aussieht#
Ein repräsentativer Ausgabeblock des amcache-Plugins
(umschrieben, Formatierung ungefähr):
File Reference : 0xABCD123456789ABC
File Path : c:\users\bob\appdata\local\temp\xyz1234.tmp.exe
File Size : 254464
SHA-1 : da39a3ee5e6b4b0d3255bfef95601890afd80709
PE Link Date : 2018-04-03 09:00:00 UTC
Publisher : (empty)
Product Name : (empty)
Product Version : (empty)
File Version : (empty)
Last Modified : 2026-04-19 02:14:55 UTC
Key Last Write : 2026-04-19 02:14:55 UTC
Sie ist dicht, als einzelnes Dokument lesbar und gut geeignet zum direkten menschlichen Lesen. Sie ist nicht gut geeignet zum Laden in eine Tabellenkalkulation, zum Join gegen andere CSVs oder zum Filtern mit PowerShell.
Wann das RegRipper-Plugin verwenden#
Ein paar Situationen, in denen das RegRipper-Plugin die richtige Wahl ist:
Sie machen bereits einen RegRipper-Sweep#
Wenn Ihr Workflow bereits RegRipper über SYSTEM, SOFTWARE,
NTUSER.DAT, SAM und andere laufen lässt, hält das Hinzufügen
von -p amcache gegen Amcache.hve alles im selben
Berichtsformat. Die Kontinuität ist für einige Analysten mehr wert
als die CSV-Ergonomie.
Sie wollen ein Einzel-Dokument-Narrativ#
Für Triage-Berichte, in denen Sie Amcache lesen statt abfragen wollen — eine Executive Summary, ein Liefergegenstand an einen Stakeholder, ein forensisches Narrativ — ist RegRippers Text-Ausgabe bereits im richtigen Format.
Plattformübergreifend ohne .NET#
rip.pl ist ein Perl-Skript. Wenn Sie Perl haben, aber keine
.NET-Runtime (unüblich auf einem Windows-Analystenrechner,
häufiger auf einer Linux-Forensik-VM), funktioniert RegRipper
ohne Abhängigkeits-Setup.
Timeline-Einlesen über amcache_tln#
Wenn Ihr Timeline-Framework (Plaso, log2timeline, ein
selbstgemachter TLN-Prozessor) TLN-Format-Daten einliest, passt
die amcache_tln-Variante direkt in die Pipeline. AmcacheParser
gibt kein TLN aus; Sie müssten konvertieren.
Wann stattdessen AmcacheParser verwenden#
Für die meiste moderne DFIR ist AmcacheParser der bessere Standard:
Sie brauchen strukturiertes CSV#
Das pro-Kategorie-CSV-Schema ist dramatisch einfacher in eine Tabellenkalkulation, Timeline Explorer, ein SIEM oder PowerShell zum Filtern und Joinen zu laden. RegRippers Text-Ausgabe erfordert Regex oder manuelle Konvertierung, um an denselben Punkt zu gelangen.
Sie brauchen die volle moderne Inventory*-Abdeckung#
RegRippers amcache-Plugin deckt die wichtigen Schlüssel ab, ist
aber nicht garantiert so schnell aktualisiert wie AmcacheParser,
wenn neue Windows-Builds das Schema verschieben. Das Zimmerman-Tool
wird schnell aktualisiert, weil es von einem aktiven
DFIR-Praktiker gepflegt wird.
Sie brauchen Transaktionsprotokoll-Behandlung#
AmcacheParser handhabt Registry-Transaktionsprotokolle
(Amcache.hve.LOG1, .LOG2) korrekt out of the box, wenn Sie auf
die Hive zeigen und die Protokolle im selben Verzeichnis behalten.
RegRipper handhabt sie ebenfalls in neueren Versionen, aber die
Unterstützung ist neuer und über Plugin-Versionen hinweg
variabler. Wenn Sie die Protokolle nicht sammeln
(siehe Wo Amcache.hve auf der Festplatte liegt),
kann keines der Tools die fehlenden Daten wiederherstellen.
Sie wollen Hash-Pivot-CSVs für hostübergreifende Hunts#
AmcacheParsers Pro-Host-CSVs sind die Standardeingabe für die
Hash- / ProgramId-Pivot-Muster, die in
Lateral Movement und Amcache-ProgramId-Pivoting
beschrieben sind. Die Pivots funktionieren auch gegen
RegRipper-Ausgabe — aber Sie müssten das Parsen skripten.
Beide verwenden#
Die beiden Tools schließen sich nicht gegenseitig aus. Ein häufiges Muster:
- AmcacheParser ausführen für strukturiertes CSV — in Timeline Explorer, Ihr SIEM und hostübergreifende Pivots einspeisen.
- RegRippers
amcache-Plugin ausführen für den Text-Narrativ-Block für jeden spezifischen interessierenden Eintrag — Copy-Paste in Ihre Case-Notizen, an Ihren Bericht anhängen.
Beide lesen dieselbe Hive und produzieren konsistente Ergebnisse. Beide zu verwenden ist selten verwirrend und oft das richtige Gleichgewicht aus „strukturierte Daten" + „menschenlesbares Narrativ".
Andere RegRipper-Plugins, die für Amcache-Arbeit nützlich sind#
RegRippers Stärke ist seine Plugin-Bibliothek für den Rest der
Registry. Ein paar Nachbarn von amcache, die für eine
vollständige Windows-Host-Untersuchung zählen:
| Plugin | Was es parst |
|---|---|
appcompatcache |
ShimCache. Siehe Amcache vs ShimCache. |
userassist |
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist — über GUI gestartete Programme. |
runmru |
Most-Recently-Used-Einträge des „Ausführen"-Dialogs. |
usbstor |
HKLM\SYSTEM\...\Enum\USBSTOR — USB-Massenspeicher-Historie. |
setupapi |
setupapi.dev.log — Treiber-Installations-Timeline. |
services |
Windows-Dienste aus SYSTEM. |
Wenn Sie AmcacheParser für Amcache verwenden, möchten Sie möglicherweise trotzdem RegRipper für diese benachbarten Artefakte.
Die browserbasierte Alternative für Triage#
Wenn Sie einen schnellen Blick auf eine Hive werfen möchten, ohne RegRipper oder AmcacheParser zu installieren, läuft der browserbasierte Parser dieser Seite in WebAssembly und zeigt jede Kategorie und jedes Feld. Er ist für Triage und Lehre konzipiert, nicht als Ersatz für Zimmerman oder RegRipper in vollständigen Untersuchungen.
Siehe auch#
- Vollständige Amcache-Referenz — das Artefakt vollständig.
- Vollständiger Leitfaden zu AmcacheParser — das Zimmerman-Tool.
- Volatility-Amcache-Plugins — die Hive vor dem Parsen aus dem Speicher ziehen.
- Amcache vs ShimCache —
RegRippers
appcompatcache-Plugin parst ShimCache. - AmcacheParser-Ausgabespalten erklärt — was AmcacheParsers CSV enthält, zum Vergleich mit RegRippers Textblöcken.
Verwandte Beiträge
- Volatility und Amcache: die Hive aus Speicherabbildern extrahieren
Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.
- AmcacheParser-Ausgabespalten erklärt: jedes CSV-Feld dekodiert
Eine Feld-für-Feld-Referenz für die CSV-Ausgabe von AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile und jede andere Spalte, mit den Pivots, die in DFIR zählen.
- AmcacheParser-Download-Leitfaden: offizielle Quellen, Mirrors und Verifizierung
Alle Wege, AmcacheParser von Eric Zimmerman herunterzuladen — Get-ZimmermanTools, direkter Download, KAPE, Velociraptor — mit Prüfsummen-Verifizierung und Air-Gap-Installationsmustern.
- AmcacheParser: der vollständige Leitfaden zu Eric Zimmermans Tool
Der definitive Leitfaden zu AmcacheParser — was es tut, wie man Eric Zimmermans CLI installiert und ausführt, wie man die CSV-Ausgabe liest und wann die browserbasierte Alternative die bessere Wahl ist.