Beiträge mit dem Tag „anti-forensik“

• Kann Amcache von Angreifern gelöscht werden?

  Ja — ein Angreifer mit Admin-Rechten kann Amcache.hve bearbeiten oder löschen, aber die Bereinigung ist nachweisbar: Volume Shadow Copies, Transaktionsprotokolle und das eigene Log des Appraisers bewahren in der Regel den vorherigen Zustand.

  2026-05-24

• Beweise gelöschter Binärprogramme aus Amcache wiederherstellen

  Wenn ein Angreifer ein Binärprogramm löscht, bewahrt Amcache oft seinen Hash, Pfad, Publisher und die Inventarzeit. Ein praktischer Workflow für die Verwendung von Amcache zur Untersuchung gelöschter Artefakte.

  2026-05-24