Beiträge mit dem Tag „dfir“
- Was die Amcache in einer DFIR-Untersuchung tatsächlich sagt
Ein Praktiker-Blick auf die Hive Amcache.hve: was jeder Eintrag wirklich beweist, wo die Zeitstempel Sie belügen, und die Fehler, die in Incident-Berichten immer wieder auftauchen.
2026-05-27
- Die Amcache-Zeitstempel, dekodiert
Jedes FILETIME- und DateTime-als-String-Feld über die Amcache-Keys, was jedes wirklich verfolgt, und wie sich Win7, Win10 und Win11 über dasselbe Artefakt streiten.
2026-05-27
- SHA-1 in der Amcache: von der Platte zum Threat Intel pivotieren
Wie das Amcache-FileId-Feld zum nützlichsten Pivot in einer DFIR-Untersuchung wird, warum Hashes Pfade schlagen und der Workflow für Hash-Pivoting im großen Maßstab.
2026-05-27
- Einen realen Vorfall mit der Amcache untersuchen: Walkthrough
Eine fiktive, aber realistische Ransomware-Untersuchung, durch die Amcache-Beweise von Anfang bis Ende geführt: der SHA-1-Pivot, die Korroboration und die Grenzen der Hive.
2026-05-27
- Das Binärformat von Amcache.hve in der Praxis
Ein Rundgang durch die On-Disk-Struktur von Amcache.hve: das regf-Hive-Layout, die Subkeys, die im DFIR zählen, und die Tools, die sie lesen, ohne Sie zu belügen.
2026-05-27
- Amcache.hve von Live- und toten Systemen sichern
Wie Sie Amcache.hve und seine Transaktionslogs auf laufenden und toten Hosts korrekt erfassen, welche Stolperfallen Dateisperren mit sich bringen und was gute IR-Sammelskripte tatsächlich leisten.
2026-05-27
- Volatility und Amcache: die Hive aus Speicherabbildern extrahieren
Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.
2026-05-24
- RegRipper amcache-Plugin: was es tut und wann man es verwendet
Ein praktischer Leitfaden zum amcache-Plugin von RegRipper — was es parst, wie sich seine Text-Ausgabe von AmcacheParsers CSV unterscheidet und wann man darauf zurückgreift statt (oder zusätzlich zum) Zimmerman-Tool.
2026-05-24
- Was ist DFIR-Triage? (Glossar)
Triage ist der schnelle Durchgang, der entscheidet, ob ein Host eine vollständige Untersuchung verdient. Amcache ist eines der billigsten, produktivsten Artefakte im Triage-Kit.
2026-05-24
- AmcacheParser-Ausgabespalten erklärt: jedes CSV-Feld dekodiert
Eine Feld-für-Feld-Referenz für die CSV-Ausgabe von AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile und jede andere Spalte, mit den Pivots, die in DFIR zählen.
2026-05-24
- AmcacheParser-Download-Leitfaden: offizielle Quellen, Mirrors und Verifizierung
Alle Wege, AmcacheParser von Eric Zimmerman herunterzuladen — Get-ZimmermanTools, direkter Download, KAPE, Velociraptor — mit Prüfsummen-Verifizierung und Air-Gap-Installationsmustern.
2026-05-24
- AmcacheParser: der vollständige Leitfaden zu Eric Zimmermans Tool
Der definitive Leitfaden zu AmcacheParser — was es tut, wie man Eric Zimmermans CLI installiert und ausführt, wie man die CSV-Ausgabe liest und wann die browserbasierte Alternative die bessere Wahl ist.
2026-05-24
- AmcacheParser-CLI-Spickzettel: jede Option, mit Praxisbeispielen
Eine praktische Kommandozeilen-Referenz für AmcacheParser von Eric Zimmerman — jede Option erklärt, mit KAPE-, Velociraptor- und PowerShell-Batch-Verarbeitungsmustern zum Kopieren und Einfügen.
2026-05-24
- Amcache unter Windows Server: Kadenz, Abdeckung und Eigenheiten
Amcache unter Windows Server 2016, 2019, 2022 und 2025 — Unterschiede in der Appraiser-Kadenz zum Desktop, was sich bei gehärteten oder Core-Installationen ändert und die Muster, die für serverseitige DFIR zählen.
2026-05-24
- Amcache unter Windows 11 und Windows 10: Schema, Kadenz und Eigenheiten
Wie sich Amcache.hve unter modernem Windows 10 und Windows 11 verhält — das in 1709 eingeführte Inventory*-Schema, die Appraiser-Kadenz und die build-spezifischen Eigenheiten, die man kennen sollte.
2026-05-24
- Amcache vs SRUM: Präsenz vs Ressourcennutzung mit langem Fenster
SRUM verfolgt die Ressourcennutzung pro Anwendung über 30+ Tage; Amcache inventarisiert jedes auf der Festplatte präsente Binärprogramm. Hier ist, wie sie sich in einer Windows-DFIR-Timeline ergänzen.
2026-05-24
- Amcache vs ShimCache: wann welches Artefakt gewinnt
ShimCache und Amcache zeichnen beide Binärprogramme auf, die einen Windows-Host berührt haben. Es sind unterschiedliche Mechanismen mit unterschiedlichen Grenzen — hier ist, wann man was verwendet und was ihre Überschneidung tatsächlich beweist.
2026-05-24
- Amcache vs Prefetch: was jedes wirklich beweist
Amcache zeichnet Präsenz auf; Prefetch zeichnet Ausführung auf. Eine praktische Referenz, wann man was verwendet, worin sie sich überschneiden und wie man sie in einer DFIR-Timeline kombiniert.
2026-05-24
- USB- und Gerätehistorie aus Amcache: InventoryDeviceContainer und InventoryDevicePnp
Die Amcache-Schlüssel InventoryDeviceContainer und InventoryDevicePnp geben Analysten eine saubere Antwort auf 'welche Hardware hat sich jemals mit diesem Host verbunden?'. Ein praktischer Leitfaden zu USB- und Peripherie-Untersuchungen.
2026-05-24
- Amcache-Zeitstempel erklärt: KeyLastWriteTimestamp vs LinkDate vs der Rest
Eine Referenz für jeden Zeitstempel, den Amcache bereitstellt — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — was jeder bedeutet und auf welchen man pivotieren sollte.
2026-05-24
- Amcache-Registry-Struktur: jeder Schlüssel erklärt
Eine Schlüssel-für-Schlüssel-Tour durch die Registry-Hive Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, die Legacy-Schlüssel Programs und File und was jeder nennenswerte Wert bedeutet.
2026-05-24
- Amcache ProgramId erklärt: die 44-Zeichen-Anwendungsidentität
Eine Referenz für Amcaches ProgramId — wie Windows den 44-Zeichen-Identitäts-Hash bildet, wie man ihn zur Verknüpfung von Dateieinträgen mit Anwendungen nutzt und wie man ihn in einem Hunt über Hosts hinweg pivotiert.
2026-05-24
- Amcache-Parser im Vergleich: AmcacheParser CLI, Browser-Tool, Volatility, RegRipper
Direkter Vergleich der vier Wege, eine Windows-Amcache.hve-Hive 2026 zu parsen — Eric Zimmermans AmcacheParser CLI, Browser-Tool, Volatility 3 und RegRipper.
2026-05-24
- Handelsübliche Malware mit Amcache jagen
Ein praktisches Amcache-First-Triage-Playbook für handelsübliche Malware auf Windows-Endpoints — die Filter, die Angreifer-Tooling zutage fördern, die Pivots, die die Ausführung bestätigen, und die hostübergreifenden Abfragen, die den Incident scopen.
2026-05-24
- Lateral Movement und Amcache: ProgramId-Pivoting über Hosts
Eine einzelne verdächtige ProgramId auf einem Host wird zu einer Abfrage, die Sie gegen jeden anderen Host-Amcache ausführen können. Das vollständige Scoping-Playbook für Lateral Movement mit konkreten Abfragen.
2026-05-24
- Die definitive forensische Referenz zu Amcache.hve: jeder Schlüssel, jeder Wert, jeder Zeitstempel
Eine Feld-für-Feld- und Schema-für-Schema-Referenz zu Windows Amcache.hve — was jeder Inventory*-Unterschlüssel aufzeichnet, was jeder Zeitstempel tatsächlich bedeutet, wie sich das Schema von Windows 7 bis Windows 11 entwickelt hat und was Amcache in der DFIR beweisen kann und was nicht.
2026-05-24
- Wo Amcache.hve auf der Festplatte liegt (und wie man es sammelt)
Die exakten Dateipfade für Amcache.hve und seine Transaktionsprotokolle über Windows-Versionen hinweg, plus der richtige Weg, sie für die forensische Analyse mit KAPE, Velociraptor oder manuell zu sammeln.
2026-05-24
- Beweise gelöschter Binärdateien aus Amcache wiederherstellen
Amcache überlebt die Binärdateien, die sie erfasst. Pfad, SHA-1, Herausgeber, Linkdatum und Inventarzeit halten sich monatelang, nachdem der Angreifer die Datei gewischt hat. Der praktische Workflow.
2026-05-24
- Amcache: die vollständige forensische Referenz der Windows-.hve-Hive
Amcache ist die Hive, in die der Compatibility Appraiser jede PE-Datei auf der Platte einträgt, mit SHA-1, vollständigem Pfad, Herausgeber, Linkdatum und Key-Schreibzeit. Die Referenz, vom Format bis zur Ermittlungspraxis.
2026-05-24
- Amcache FileId erklärt: das SHA-1-Hash-Format, das Windows speichert
FileId ist '0000' plus der SHA-1 der ersten 31 MiB. Streifen Sie das Präfix ab, sonst liefern Ihre VirusTotal-Abfragen still nichts. Die vollständige Referenz, mit den Fallen.
2026-05-24