Amcache für Windows-Forensik verstehen

Amcache.hve ist eine Windows-Registry-Hive, die Metadaten über Programme speichert, die auf einem System vorhanden waren oder ausgeführt wurden. Für die digitale Forensik ist sie eine der reichhaltigsten Quellen für Ausführungsartefakte.

Was dieses Tool macht#

Dieser Parser kompiliert einen Rust-Hive-Reader (nt-hive) zu WebAssembly. Ihre Amcache.hve-Datei wird im Speicher gelesen und lokal analysiert — sie wird nie auf einen Server hochgeladen.

Analysierte Kategorien#

  • InventoryApplicationFile — Metadaten pro Datei
  • InventoryApplication — installierte Anwendungen
  • InventoryDriverBinary — Treiber-Binärdateien
  • InventoryDeviceContainer — verbundene Geräte

Legen Sie eine Hive auf der Startseite ab, um alles zu erkunden.

Tagsforensikwindowsamcache

Verwandte Beiträge

  • Warum ist meine Amcache.hve leer?

    Drei häufige Ursachen: Der Compatibility Appraiser ist deaktiviert, der Host wurde frisch installiert oder Sie sammeln von einem Server / Server Core, auf dem der Appraiser viel seltener läuft.

  • Wo ist der Amcache-Registry-Schlüssel?

    Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.

  • Was enthält Amcache.hve?

    Amcache.hve enthält Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber und jedes verbundene Gerät, das der Windows Compatibility Appraiser gesehen hat — mit SHA-1-Hashes, Pfaden, Herausgebern und Zeitstempeln.

  • Volatility und Amcache: die Hive aus Speicherabbildern extrahieren

    Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.

Zurück zu allen Beiträgen