Beiträge mit dem Tag „registry“

• Wo ist der Amcache-Registry-Schlüssel?

  Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.

  2026-05-24

• Was ist Root\InventoryApplicationFile? (Glossar)

  InventoryApplicationFile ist der zentrale Amcache-Registry-Schlüssel — ein Unterschlüssel pro PE-Binärprogramm, das vom Appraiser inventarisiert wurde, mit Pfad, SHA-1, Herausgeber, Link-Datum und Zeitstempeln.

  2026-05-24

• Amcache-Registry-Struktur: jeder Schlüssel erklärt

  Eine Schlüssel-für-Schlüssel-Tour durch die Registry-Hive Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, die Legacy-Schlüssel Programs und File und was jeder nennenswerte Wert bedeutet.

  2026-05-24

• Amcache: die vollständige Forensik-Referenz der Windows-.hve-Hive

  Amcache ist die Windows-Registry-Hive, in der der Appraiser jede PE-Datei inventarisiert — mit SHA-1, Pfad, Herausgeber und Zeitstempel. Vollständige Referenz.

  2026-05-24