Beiträge mit dem Tag „registry“
- Das Binärformat von Amcache.hve in der Praxis
Ein Rundgang durch die On-Disk-Struktur von Amcache.hve: das regf-Hive-Layout, die Subkeys, die im DFIR zählen, und die Tools, die sie lesen, ohne Sie zu belügen.
2026-05-27
- Wo ist der Amcache-Registry-Schlüssel?
Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.
2026-05-24
- Was ist Root\InventoryApplicationFile? (Glossar)
Der Hauptschlüssel in Amcache. Ein Unterschlüssel pro PE, das der Appraiser inventarisiert hat, mit Hash, Pfad, Hersteller, Linkdatum und einem Registry-Schreibzeitstempel. Wo 90 % der Analystenzeit verbracht werden.
2026-05-24
- Amcache-Registry-Struktur: jeder Schlüssel erklärt
Eine Schlüssel-für-Schlüssel-Tour durch die Registry-Hive Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, die Legacy-Schlüssel Programs und File und was jeder nennenswerte Wert bedeutet.
2026-05-24
- Amcache: die vollständige forensische Referenz der Windows-.hve-Hive
Amcache ist die Hive, in die der Compatibility Appraiser jede PE-Datei auf der Platte einträgt, mit SHA-1, vollständigem Pfad, Herausgeber, Linkdatum und Key-Schreibzeit. Die Referenz, vom Format bis zur Ermittlungspraxis.
2026-05-24