Beiträge mit dem Tag „qa“

• Warum ist meine Amcache.hve leer?

  Drei häufige Ursachen: Der Compatibility Appraiser ist deaktiviert, der Host wurde frisch installiert oder Sie sammeln von einem Server / Server Core, auf dem der Appraiser viel seltener läuft.

  2026-05-24

• Wer hat AmcacheParser erstellt?

  Eric Zimmerman, ein ehemaliger FBI Special Agent und aktueller Senior Director bei Kroll, hat AmcacheParser als Teil seiner Open-Source-DFIR-Tool-Suite erstellt.

  2026-05-24

• Wo ist der Amcache-Registry-Schlüssel?

  Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.

  2026-05-24

• Was enthält Amcache.hve?

  Amcache.hve enthält Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber und jedes verbundene Gerät, das der Windows Compatibility Appraiser gesehen hat — mit SHA-1-Hashes, Pfaden, Herausgebern und Zeitstempeln.

  2026-05-24

• Was ist eine .pf-Datei vs. ein Amcache-Eintrag?

  .pf-Dateien sind Windows-Prefetch-Datensätze — Beweis, dass ein Binärprogramm ausgeführt wurde, mit Run-Zeitstempeln und Listen geladener Dateien. Amcache-Einträge zeichnen Präsenz auf, mit dem SHA-1-Hash und Metadaten.

  2026-05-24

• Ist AmcacheParser kostenlos?

  Ja. AmcacheParser ist für jede Verwendung kostenlos, einschließlich kommerzieller DFIR-Arbeit, veröffentlicht unter einer permissiven Lizenz von Eric Zimmerman.

  2026-05-24

• Ist Amcache.hve eine Protokolldatei?

  Nein. Amcache.hve ist eine Windows-Registry-Hive — ein strukturierter Schlüssel-Wert-Baum im selben Binärformat wie SYSTEM und NTUSER.DAT — keine flache Protokolldatei.

  2026-05-24

• Wie lese ich Amcache.hve unter Linux oder macOS?

  Drei Optionen: dotnet AmcacheParser.dll mit der .NET-Runtime, der browserbasierte Parser dieser Seite (keine Installation) oder ein beliebiges libhivex-basiertes Tool. Keine erfordert Windows.

  2026-05-24

• Wie oft wird Amcache aktualisiert?

  Der Compatibility Appraiser aktualisiert Amcache.hve ungefähr täglich auf Windows-10/11-Workstations, alle 2-5 Tage auf Servern und wöchentlich oder seltener auf Server Core.

  2026-05-24

• Zeichnet Amcache DLLs auf?

  Ja — auf Windows 10 Build 1709 und später zeichnet Amcache DLLs neben EXEs in InventoryApplicationFile auf. Pre-1709-Hives möglicherweise nicht.

  2026-05-24

• Kann Amcache von Angreifern gelöscht werden?

  Ja — ein Angreifer mit Admin-Rechten kann Amcache.hve bearbeiten oder löschen, aber die Bereinigung ist nachweisbar: Volume Shadow Copies, Transaktionsprotokolle und das eigene Log des Appraisers bewahren in der Regel den vorherigen Zustand.

  2026-05-24

• Was ist der Unterschied zwischen Amcache und AppCompatCache?

  Amcache ist eine reichhaltigere, vom Appraiser gepflegte Registry-Hive mit Hashes und Metadaten. AppCompatCache (ShimCache) ist ein kleineres, loadergepflegtes Registry-Blob nur mit Pfaden und Zeitstempeln.

  2026-05-24