Amcache für Windows-Forensik verstehen
Amcache.hve ist die Windows-Registry-Hive, in die der Compatibility Appraiser Inventarmetadaten für jede PE-Binärdatei schreibt, die er auf dem Host sieht. SHA-1 der ersten 31 MiB, vollständiger Pfad, Herausgeber, Linkdatum und eine Key-Schreibzeit pro Eintrag. Eines der reichhaltigsten Einzelartefakte des Windows-DFIR.
Es ist die Hive, zu der Sie greifen, wenn Sie wissen müssen "war diese Binärdatei je auf diesem Host, und was war sie?", ohne die Binärdatei selbst zu haben.
Was dieses Tool tut#
Dieser Parser kompiliert einen Rust-Reader für Registry-Hives (nt-hive) nach WebAssembly. Ihre Amcache.hve wird im Speicher Ihres Browsers eingelesen und geparst. Sie wird nie hochgeladen.
Das zählt, wenn die Hive aus einer regulierten Umgebung stammt, in der Datei-Uploads an Drittanbieter unzulässig sind, oder wenn Sie einfach schnell hineinschauen wollen, ohne die volle DFIR-Toolchain aufzubauen.
Geparste Kategorien#
InventoryApplicationFile: Pro-Datei-Metadaten (SHA-1FileId, Pfade, Version).InventoryApplication: installierte Anwendungen.InventoryDriverBinary: geladene Treiberbinärdateien.InventoryDeviceContainer: verbundene Geräte.- Die restlichen
Inventory*-Keys plus die Legacy-KeysFileundProgramsfür ältere Windows-Builds.
Legen Sie eine Hive auf der Startseite ab, um jeden Wert zu sehen, zu filtern und nach JSON oder CSV zu exportieren.
Für die Langform-Referenz siehe die Vollständige Amcache-Referenz. Für Vergleiche mit Nachbarartefakten siehe Amcache vs. Prefetch, Amcache vs. Shimcache und Amcache vs. SRUM.
Weiterführende Quellen#
- Yogesh Khatri, Amcache.hve in Windows 8 is a goldmine for malware hunters. Das kanonische Reverse Engineering.
- Eric Zimmermans AmcacheParser. Das De-facto-Industrie-Offlinetool.
Verwandte Beiträge
- Ist Amcache.hve eine Protokolldatei?
Nein. Es ist eine Registry-Hive im selben Binärformat wie SYSTEM und NTUSER.DAT. Ein Baum typisierter Keys, kein flacher Append-Only-Stream.
- Wie oft wird Amcache aktualisiert?
Etwa täglich auf Windows-10/11-Workstations. Alle 2-5 Tage auf Servern. Wochen auf Server Core. Amcache hinkt der Realität hinterher. Planen Sie Timelines entsprechend.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.