Beiträge mit dem Tag „dfir“

• Volatility und Amcache: die Hive aus Speicherabbildern extrahieren

  Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.

  2026-05-24

• RegRipper amcache-Plugin: was es tut und wann man es verwendet

  Ein praktischer Leitfaden zum amcache-Plugin von RegRipper — was es parst, wie sich seine Text-Ausgabe von AmcacheParsers CSV unterscheidet und wann man darauf zurückgreift statt (oder zusätzlich zum) Zimmerman-Tool.

  2026-05-24

• Was ist DFIR-Triage? (Glossar)

  DFIR-Triage ist die schnelle Erstuntersuchung eines mutmaßlich kompromittierten Hosts, um eine Kompromittierung innerhalb von Minuten zu bestätigen oder auszuschließen. Amcache ist eines der schnellsten Triage-Artefakte unter Windows.

  2026-05-24

• AmcacheParser-Ausgabespalten erklärt: jedes CSV-Feld dekodiert

  Eine Feld-für-Feld-Referenz für die CSV-Ausgabe von AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile und jede andere Spalte, mit den Pivots, die in DFIR zählen.

  2026-05-24

• AmcacheParser-Download-Leitfaden: offizielle Quellen, Mirrors und Verifizierung

  Alle Wege, AmcacheParser von Eric Zimmerman herunterzuladen — Get-ZimmermanTools, direkter Download, KAPE, Velociraptor — mit Prüfsummen-Verifizierung und Air-Gap-Installationsmustern.

  2026-05-24

• AmcacheParser: der vollständige Leitfaden zu Eric Zimmermans Tool

  Der definitive Leitfaden zu AmcacheParser — was es tut, wie man Eric Zimmermans CLI installiert und ausführt, wie man die CSV-Ausgabe liest und wann die browserbasierte Alternative die bessere Wahl ist.

  2026-05-24

• AmcacheParser-CLI-Spickzettel: jede Option, mit Praxisbeispielen

  Eine praktische Kommandozeilen-Referenz für AmcacheParser von Eric Zimmerman — jede Option erklärt, mit KAPE-, Velociraptor- und PowerShell-Batch-Verarbeitungsmustern zum Kopieren und Einfügen.

  2026-05-24

• Amcache unter Windows Server: Kadenz, Abdeckung und Eigenheiten

  Amcache unter Windows Server 2016, 2019, 2022 und 2025 — Unterschiede in der Appraiser-Kadenz zum Desktop, was sich bei gehärteten oder Core-Installationen ändert und die Muster, die für serverseitige DFIR zählen.

  2026-05-24

• Amcache unter Windows 11 und Windows 10: Schema, Kadenz und Eigenheiten

  Wie sich Amcache.hve unter modernem Windows 10 und Windows 11 verhält — das in 1709 eingeführte Inventory*-Schema, die Appraiser-Kadenz und die build-spezifischen Eigenheiten, die man kennen sollte.

  2026-05-24

• Amcache vs SRUM: Präsenz vs Ressourcennutzung mit langem Fenster

  SRUM verfolgt die Ressourcennutzung pro Anwendung über 30+ Tage; Amcache inventarisiert jedes auf der Festplatte präsente Binärprogramm. Hier ist, wie sie sich in einer Windows-DFIR-Timeline ergänzen.

  2026-05-24

• Amcache vs ShimCache: wann welches Artefakt gewinnt

  ShimCache und Amcache zeichnen beide Binärprogramme auf, die einen Windows-Host berührt haben. Es sind unterschiedliche Mechanismen mit unterschiedlichen Grenzen — hier ist, wann man was verwendet und was ihre Überschneidung tatsächlich beweist.

  2026-05-24

• Amcache vs Prefetch: was jedes wirklich beweist

  Amcache zeichnet Präsenz auf; Prefetch zeichnet Ausführung auf. Eine praktische Referenz, wann man was verwendet, worin sie sich überschneiden und wie man sie in einer DFIR-Timeline kombiniert.

  2026-05-24

• USB- und Gerätehistorie aus Amcache: InventoryDeviceContainer und InventoryDevicePnp

  Die Amcache-Schlüssel InventoryDeviceContainer und InventoryDevicePnp geben Analysten eine saubere Antwort auf 'welche Hardware hat sich jemals mit diesem Host verbunden?'. Ein praktischer Leitfaden zu USB- und Peripherie-Untersuchungen.

  2026-05-24

• Amcache-Zeitstempel erklärt: KeyLastWriteTimestamp vs LinkDate vs der Rest

  Eine Referenz für jeden Zeitstempel, den Amcache bereitstellt — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — was jeder bedeutet und auf welchen man pivotieren sollte.

  2026-05-24

• Amcache-Registry-Struktur: jeder Schlüssel erklärt

  Eine Schlüssel-für-Schlüssel-Tour durch die Registry-Hive Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, die Legacy-Schlüssel Programs und File und was jeder nennenswerte Wert bedeutet.

  2026-05-24

• Amcache ProgramId erklärt: die 44-Zeichen-Anwendungsidentität

  Eine Referenz für Amcaches ProgramId — wie Windows den 44-Zeichen-Identitäts-Hash bildet, wie man ihn zur Verknüpfung von Dateieinträgen mit Anwendungen nutzt und wie man ihn in einem Hunt über Hosts hinweg pivotiert.

  2026-05-24

• Amcache-Parser im Vergleich: AmcacheParser CLI, Browser-Tool, Volatility, RegRipper

  Direkter Vergleich der vier Wege, eine Windows-Amcache.hve-Hive 2026 zu parsen — Eric Zimmermans AmcacheParser CLI, Browser-Tool, Volatility 3 und RegRipper.

  2026-05-24

• Handelsübliche Malware mit Amcache jagen

  Ein praktisches Amcache-First-Triage-Playbook für handelsübliche Malware auf Windows-Endpoints — die Filter, die Angreifer-Tooling zutage fördern, die Pivots, die die Ausführung bestätigen, und die hostübergreifenden Abfragen, die den Incident scopen.

  2026-05-24

• Lateral Movement und Amcache: ProgramId-Pivoting über Hosts

  Eine einzelne verdächtige ProgramId auf einem Host wird zu einer Abfrage, die Sie gegen jeden anderen Host-Amcache ausführen können. Das vollständige Scoping-Playbook für Lateral Movement mit konkreten Abfragen.

  2026-05-24

• Die definitive forensische Referenz zu Amcache.hve: jeder Schlüssel, jeder Wert, jeder Zeitstempel

  Eine Feld-für-Feld- und Schema-für-Schema-Referenz zu Windows Amcache.hve — was jeder Inventory*-Unterschlüssel aufzeichnet, was jeder Zeitstempel tatsächlich bedeutet, wie sich das Schema von Windows 7 bis Windows 11 entwickelt hat und was Amcache in der DFIR beweisen kann und was nicht.

  2026-05-24

• Wo Amcache.hve auf der Festplatte liegt (und wie man es sammelt)

  Die exakten Dateipfade für Amcache.hve und seine Transaktionsprotokolle über Windows-Versionen hinweg, plus der richtige Weg, sie für die forensische Analyse mit KAPE, Velociraptor oder manuell zu sammeln.

  2026-05-24

• Beweise gelöschter Binärprogramme aus Amcache wiederherstellen

  Wenn ein Angreifer ein Binärprogramm löscht, bewahrt Amcache oft seinen Hash, Pfad, Publisher und die Inventarzeit. Ein praktischer Workflow für die Verwendung von Amcache zur Untersuchung gelöschter Artefakte.

  2026-05-24

• Amcache: die vollständige Forensik-Referenz der Windows-.hve-Hive

  Amcache ist die Windows-Registry-Hive, in der der Appraiser jede PE-Datei inventarisiert — mit SHA-1, Pfad, Herausgeber und Zeitstempel. Vollständige Referenz.

  2026-05-24

• Amcache FileId erklärt: das SHA-1-Hash-Format, das Windows speichert

  Ein Deep Dive in das FileId-Feld von Amcache — warum es mit 0000 beginnt, warum es ein SHA-1 der ersten 31 MiB ist, wie man es für VirusTotal-Lookups verwendet und die Fallen, die Analysten in die Irre führen.

  2026-05-24