Beiträge mit dem Tag „vergleich“

• Was ist eine .pf-Datei vs. ein Amcache-Eintrag?

  .pf-Dateien sind Windows-Prefetch-Datensätze — Beweis, dass ein Binärprogramm ausgeführt wurde, mit Run-Zeitstempeln und Listen geladener Dateien. Amcache-Einträge zeichnen Präsenz auf, mit dem SHA-1-Hash und Metadaten.

  2026-05-24

• Amcache vs SRUM: Präsenz vs Ressourcennutzung mit langem Fenster

  SRUM verfolgt die Ressourcennutzung pro Anwendung über 30+ Tage; Amcache inventarisiert jedes auf der Festplatte präsente Binärprogramm. Hier ist, wie sie sich in einer Windows-DFIR-Timeline ergänzen.

  2026-05-24

• Amcache vs ShimCache: wann welches Artefakt gewinnt

  ShimCache und Amcache zeichnen beide Binärprogramme auf, die einen Windows-Host berührt haben. Es sind unterschiedliche Mechanismen mit unterschiedlichen Grenzen — hier ist, wann man was verwendet und was ihre Überschneidung tatsächlich beweist.

  2026-05-24

• Amcache vs Prefetch: was jedes wirklich beweist

  Amcache zeichnet Präsenz auf; Prefetch zeichnet Ausführung auf. Eine praktische Referenz, wann man was verwendet, worin sie sich überschneiden und wie man sie in einer DFIR-Timeline kombiniert.

  2026-05-24

• Amcache-Parser im Vergleich: AmcacheParser CLI, Browser-Tool, Volatility, RegRipper

  Direkter Vergleich der vier Wege, eine Windows-Amcache.hve-Hive 2026 zu parsen — Eric Zimmermans AmcacheParser CLI, Browser-Tool, Volatility 3 und RegRipper.

  2026-05-24