Beiträge mit dem Tag „forensik“

• Warum ist meine Amcache.hve leer?

  Drei häufige Ursachen: Der Compatibility Appraiser ist deaktiviert, der Host wurde frisch installiert oder Sie sammeln von einem Server / Server Core, auf dem der Appraiser viel seltener läuft.

  2026-05-24

• Wo ist der Amcache-Registry-Schlüssel?

  Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.

  2026-05-24

• Was enthält Amcache.hve?

  Amcache.hve enthält Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber und jedes verbundene Gerät, das der Windows Compatibility Appraiser gesehen hat — mit SHA-1-Hashes, Pfaden, Herausgebern und Zeitstempeln.

  2026-05-24

• Volatility und Amcache: die Hive aus Speicherabbildern extrahieren

  Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.

  2026-05-24

• RegRipper amcache-Plugin: was es tut und wann man es verwendet

  Ein praktischer Leitfaden zum amcache-Plugin von RegRipper — was es parst, wie sich seine Text-Ausgabe von AmcacheParsers CSV unterscheidet und wann man darauf zurückgreift statt (oder zusätzlich zum) Zimmerman-Tool.

  2026-05-24

• Was ist eine .pf-Datei vs. ein Amcache-Eintrag?

  .pf-Dateien sind Windows-Prefetch-Datensätze — Beweis, dass ein Binärprogramm ausgeführt wurde, mit Run-Zeitstempeln und Listen geladener Dateien. Amcache-Einträge zeichnen Präsenz auf, mit dem SHA-1-Hash und Metadaten.

  2026-05-24

• Ist Amcache.hve eine Protokolldatei?

  Nein. Amcache.hve ist eine Windows-Registry-Hive — ein strukturierter Schlüssel-Wert-Baum im selben Binärformat wie SYSTEM und NTUSER.DAT — keine flache Protokolldatei.

  2026-05-24

• Wie lese ich Amcache.hve unter Linux oder macOS?

  Drei Optionen: dotnet AmcacheParser.dll mit der .NET-Runtime, der browserbasierte Parser dieser Seite (keine Installation) oder ein beliebiges libhivex-basiertes Tool. Keine erfordert Windows.

  2026-05-24

• Wie oft wird Amcache aktualisiert?

  Der Compatibility Appraiser aktualisiert Amcache.hve ungefähr täglich auf Windows-10/11-Workstations, alle 2-5 Tage auf Servern und wöchentlich oder seltener auf Server Core.

  2026-05-24

• Was ist SRUM (SRUDB.dat)? (Glossar)

  SRUM ist der Windows System Resource Usage Monitor — eine ESE-Datenbank, die pro Anwendung CPU-, Netzwerk- und I/O-Nutzung in Stunden-Buckets über 30-60 Tage aufzeichnet.

  2026-05-24

• Was ist ShimCache (AppCompatCache)? (Glossar)

  ShimCache ist ein kernelseitig gepflegter Cache in der SYSTEM-Registry-Hive, der bis zu 1024 Binärprogramme aufzeichnet, die der Windows-Loader berührt hat. Anders als Amcache.

  2026-05-24

• Was ist Amcache ProgramId? (Glossar)

  ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Dieselbe ProgramId auf verschiedenen Hosts bedeutet dieselbe Anwendungsinstallation.

  2026-05-24

• Was ist Windows Prefetch? (Glossar)

  Prefetch ist der Windows-Ordner mit .pf-Dateien, der jede Binärprogramm-Ausführung aufzeichnet, mit bis zu 8-10 Run-Zeitstempeln pro Binärprogramm und den Dateien, die jedes geladen hat. Der stärkste Windows-Ausführungsbeweis.

  2026-05-24

• Was ist LinkDate in Amcache? (Glossar)

  LinkDate ist der PE-Header-TimeDateStamp, den Amcache aufzeichnet — wann das Binärprogramm kompiliert oder gelinkt wurde, nicht wann es auf dem Host erschien.

  2026-05-24

• Was ist KeyLastWriteTimestamp in Amcache? (Glossar)

  KeyLastWriteTimestamp ist die Last-Write-Zeit eines Amcache-Eintrags auf Registry-Ebene — was am nächsten daran kommt, was Amcache als 'wann der Appraiser diese Datei aufgezeichnet hat' offenlegt.

  2026-05-24

• Was ist Root\InventoryApplicationFile? (Glossar)

  InventoryApplicationFile ist der zentrale Amcache-Registry-Schlüssel — ein Unterschlüssel pro PE-Binärprogramm, das vom Appraiser inventarisiert wurde, mit Pfad, SHA-1, Herausgeber, Link-Datum und Zeitstempeln.

  2026-05-24

• Was ist Amcache FileId? (Glossar)

  FileId ist der 41-stellige Identifikator, den Amcache für jede Datei speichert — '0000' + das SHA-1-Hex der ersten 31 MiB der Datei.

  2026-05-24

• Was ist DFIR-Triage? (Glossar)

  DFIR-Triage ist die schnelle Erstuntersuchung eines mutmaßlich kompromittierten Hosts, um eine Kompromittierung innerhalb von Minuten zu bestätigen oder auszuschließen. Amcache ist eines der schnellsten Triage-Artefakte unter Windows.

  2026-05-24

• Was ist der Compatibility Appraiser? (Glossar)

  Der Microsoft Compatibility Appraiser ist der geplante Windows-Task, der installierte Software inventarisiert und die Datensätze in Amcache.hve schreibt.

  2026-05-24

• Was ist BYOVD (Bring-Your-Own-Vulnerable-Driver)? (Glossar)

  BYOVD ist die Angreifer-Technik, einen legitim signierten, aber ausnutzbaren Kernel-Treiber abzulegen, um Kernel-Mode-Ausführung zu erlangen. Amcaches InventoryDriverBinary zeichnet jeden geladenen Treiber auf.

  2026-05-24

• Was ist Amcache.hve? (Glossar)

  Amcache.hve ist die Windows-Registry-Hive, die jedes PE-Binärprogramm aufzeichnet, das der Compatibility Appraiser auf dem Host inventarisiert hat — mit Hash, Pfad und Inventarisierungszeit.

  2026-05-24

• Zeichnet Amcache DLLs auf?

  Ja — auf Windows 10 Build 1709 und später zeichnet Amcache DLLs neben EXEs in InventoryApplicationFile auf. Pre-1709-Hives möglicherweise nicht.

  2026-05-24

• Kann Amcache von Angreifern gelöscht werden?

  Ja — ein Angreifer mit Admin-Rechten kann Amcache.hve bearbeiten oder löschen, aber die Bereinigung ist nachweisbar: Volume Shadow Copies, Transaktionsprotokolle und das eigene Log des Appraisers bewahren in der Regel den vorherigen Zustand.

  2026-05-24

• AmcacheParser-Ausgabespalten erklärt: jedes CSV-Feld dekodiert

  Eine Feld-für-Feld-Referenz für die CSV-Ausgabe von AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile und jede andere Spalte, mit den Pivots, die in DFIR zählen.

  2026-05-24

• AmcacheParser-Download-Leitfaden: offizielle Quellen, Mirrors und Verifizierung

  Alle Wege, AmcacheParser von Eric Zimmerman herunterzuladen — Get-ZimmermanTools, direkter Download, KAPE, Velociraptor — mit Prüfsummen-Verifizierung und Air-Gap-Installationsmustern.

  2026-05-24

• AmcacheParser: der vollständige Leitfaden zu Eric Zimmermans Tool

  Der definitive Leitfaden zu AmcacheParser — was es tut, wie man Eric Zimmermans CLI installiert und ausführt, wie man die CSV-Ausgabe liest und wann die browserbasierte Alternative die bessere Wahl ist.

  2026-05-24

• AmcacheParser-CLI-Spickzettel: jede Option, mit Praxisbeispielen

  Eine praktische Kommandozeilen-Referenz für AmcacheParser von Eric Zimmerman — jede Option erklärt, mit KAPE-, Velociraptor- und PowerShell-Batch-Verarbeitungsmustern zum Kopieren und Einfügen.

  2026-05-24

• Amcache unter Windows Server: Kadenz, Abdeckung und Eigenheiten

  Amcache unter Windows Server 2016, 2019, 2022 und 2025 — Unterschiede in der Appraiser-Kadenz zum Desktop, was sich bei gehärteten oder Core-Installationen ändert und die Muster, die für serverseitige DFIR zählen.

  2026-05-24

• Amcache unter Windows 11 und Windows 10: Schema, Kadenz und Eigenheiten

  Wie sich Amcache.hve unter modernem Windows 10 und Windows 11 verhält — das in 1709 eingeführte Inventory*-Schema, die Appraiser-Kadenz und die build-spezifischen Eigenheiten, die man kennen sollte.

  2026-05-24

• Amcache vs SRUM: Präsenz vs Ressourcennutzung mit langem Fenster

  SRUM verfolgt die Ressourcennutzung pro Anwendung über 30+ Tage; Amcache inventarisiert jedes auf der Festplatte präsente Binärprogramm. Hier ist, wie sie sich in einer Windows-DFIR-Timeline ergänzen.

  2026-05-24

• Amcache vs ShimCache: wann welches Artefakt gewinnt

  ShimCache und Amcache zeichnen beide Binärprogramme auf, die einen Windows-Host berührt haben. Es sind unterschiedliche Mechanismen mit unterschiedlichen Grenzen — hier ist, wann man was verwendet und was ihre Überschneidung tatsächlich beweist.

  2026-05-24

• Amcache vs Prefetch: was jedes wirklich beweist

  Amcache zeichnet Präsenz auf; Prefetch zeichnet Ausführung auf. Eine praktische Referenz, wann man was verwendet, worin sie sich überschneiden und wie man sie in einer DFIR-Timeline kombiniert.

  2026-05-24

• Was ist der Unterschied zwischen Amcache und AppCompatCache?

  Amcache ist eine reichhaltigere, vom Appraiser gepflegte Registry-Hive mit Hashes und Metadaten. AppCompatCache (ShimCache) ist ein kleineres, loadergepflegtes Registry-Blob nur mit Pfaden und Zeitstempeln.

  2026-05-24

• USB- und Gerätehistorie aus Amcache: InventoryDeviceContainer und InventoryDevicePnp

  Die Amcache-Schlüssel InventoryDeviceContainer und InventoryDevicePnp geben Analysten eine saubere Antwort auf 'welche Hardware hat sich jemals mit diesem Host verbunden?'. Ein praktischer Leitfaden zu USB- und Peripherie-Untersuchungen.

  2026-05-24

• Amcache-Zeitstempel erklärt: KeyLastWriteTimestamp vs LinkDate vs der Rest

  Eine Referenz für jeden Zeitstempel, den Amcache bereitstellt — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — was jeder bedeutet und auf welchen man pivotieren sollte.

  2026-05-24

• Amcache-Registry-Struktur: jeder Schlüssel erklärt

  Eine Schlüssel-für-Schlüssel-Tour durch die Registry-Hive Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, die Legacy-Schlüssel Programs und File und was jeder nennenswerte Wert bedeutet.

  2026-05-24

• Amcache ProgramId erklärt: die 44-Zeichen-Anwendungsidentität

  Eine Referenz für Amcaches ProgramId — wie Windows den 44-Zeichen-Identitäts-Hash bildet, wie man ihn zur Verknüpfung von Dateieinträgen mit Anwendungen nutzt und wie man ihn in einem Hunt über Hosts hinweg pivotiert.

  2026-05-24

• Amcache-Parser im Vergleich: AmcacheParser CLI, Browser-Tool, Volatility, RegRipper

  Direkter Vergleich der vier Wege, eine Windows-Amcache.hve-Hive 2026 zu parsen — Eric Zimmermans AmcacheParser CLI, Browser-Tool, Volatility 3 und RegRipper.

  2026-05-24

• Handelsübliche Malware mit Amcache jagen

  Ein praktisches Amcache-First-Triage-Playbook für handelsübliche Malware auf Windows-Endpoints — die Filter, die Angreifer-Tooling zutage fördern, die Pivots, die die Ausführung bestätigen, und die hostübergreifenden Abfragen, die den Incident scopen.

  2026-05-24

• Lateral Movement und Amcache: ProgramId-Pivoting über Hosts

  Eine einzelne verdächtige ProgramId auf einem Host wird zu einer Abfrage, die Sie gegen jeden anderen Host-Amcache ausführen können. Das vollständige Scoping-Playbook für Lateral Movement mit konkreten Abfragen.

  2026-05-24

• Die definitive forensische Referenz zu Amcache.hve: jeder Schlüssel, jeder Wert, jeder Zeitstempel

  Eine Feld-für-Feld- und Schema-für-Schema-Referenz zu Windows Amcache.hve — was jeder Inventory*-Unterschlüssel aufzeichnet, was jeder Zeitstempel tatsächlich bedeutet, wie sich das Schema von Windows 7 bis Windows 11 entwickelt hat und was Amcache in der DFIR beweisen kann und was nicht.

  2026-05-24

• Wo Amcache.hve auf der Festplatte liegt (und wie man es sammelt)

  Die exakten Dateipfade für Amcache.hve und seine Transaktionsprotokolle über Windows-Versionen hinweg, plus der richtige Weg, sie für die forensische Analyse mit KAPE, Velociraptor oder manuell zu sammeln.

  2026-05-24

• Beweise gelöschter Binärprogramme aus Amcache wiederherstellen

  Wenn ein Angreifer ein Binärprogramm löscht, bewahrt Amcache oft seinen Hash, Pfad, Publisher und die Inventarzeit. Ein praktischer Workflow für die Verwendung von Amcache zur Untersuchung gelöschter Artefakte.

  2026-05-24

• Amcache: die vollständige Forensik-Referenz der Windows-.hve-Hive

  Amcache ist die Windows-Registry-Hive, in der der Appraiser jede PE-Datei inventarisiert — mit SHA-1, Pfad, Herausgeber und Zeitstempel. Vollständige Referenz.

  2026-05-24

• Amcache für Windows-Forensik verstehen

  Was Amcache.hve aufzeichnet, warum es wichtig ist und wie dieser Parser es vollständig im Browser liest.

  2026-05-10

• Amcache FileId erklärt: das SHA-1-Hash-Format, das Windows speichert

  Ein Deep Dive in das FileId-Feld von Amcache — warum es mit 0000 beginnt, warum es ein SHA-1 der ersten 31 MiB ist, wie man es für VirusTotal-Lookups verwendet und die Fallen, die Analysten in die Irre führen.

  2026-05-24