Welche Kategorien von Datensätzen hält Amcache?

PE-Dateien (InventoryApplicationFile), installierte Anwendungen (InventoryApplication), Treiber-Binärprogramme (InventoryDriverBinary), verbundene Geräte (InventoryDeviceContainer und InventoryDevicePnp), Startmenü-Verknüpfungen (InventoryApplicationShortcut) sowie Legacy-Programs-/File-Einträge aus älteren Schema-Versionen.

Welche Felder hat jeder Datei-Eintrag?

Name, vollständiger Pfad, FileId (SHA-1), Größe, IsPeFile-Flag, IsOsComponent-Flag, Publisher, Version, BinFileVersion, ProductName, LinkDate, Language, ProgramId und einen KeyLastWriteTimestamp aus den Registry-Metadaten.

Zeichnet Amcache DLLs auf?

Ja auf Windows 10 Build 1709 und später. Der Schlüssel InventoryApplicationFile zeichnet sowohl EXEs als auch DLLs auf, die als PE-Dateien klassifiziert sind.

Zeichnet Amcache Skripte (.ps1, .bat, .vbs) auf?

Im Allgemeinen nein. Amcache konzentriert sich auf PE-Binärprogramme. Beweise für Skript-Ausführung kommen aus operativen PowerShell-Logs, AMSI oder Sysmon.

Wie viele Einträge enthält ein typisches Amcache?

Hunderte bis Tausende auf einer typischen Windows-10/11-Workstation. Entwickler-Workstations können 10.000 Einträge überschreiten; Produktionsserver haben typischerweise einige Hundert.

Was enthält Amcache.hve?

Amcache.hve enthält strukturierte Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber, jede installierte Anwendung und jedes verbundene Gerät, das der Windows Compatibility Appraiser auf dem Host gesehen hat. Pro Datensatz speichert es reichhaltige Metadaten — am wichtigsten den SHA-1-Hash der Datei (der ersten 31 MiB), ihren vollständigen Pfad, ihren Herausgeber und ihre Version sowie einen Last-Write- Zeitstempel auf Registry-Ebene.

Die obersten Kategorien#

Auf einer modernen Windows-10/11-Hive enthält Root:

Schlüssel	Was er aufzeichnet
`InventoryApplicationFile`	Ein Unterschlüssel pro inventarisiertem PE-Binärprogramm.
`InventoryApplication`	Ein Unterschlüssel pro installierter Anwendung.
`InventoryDriverBinary`	Ein Unterschlüssel pro Treiber-Binärprogramm.
`InventoryDeviceContainer`	Friendly-Name-Geräte-Datensätze.
`InventoryDevicePnp`	PnP-Enumeration pro Schnittstelle.
`InventoryApplicationShortcut`	Startmenü-/angeheftete Verknüpfungen.
`Programs` (Legacy)	Ältere Liste installierter Anwendungen.
`File` (Legacy)	Älterer Katalog pro Datei.

Für die vollständige Tour Schlüssel für Schlüssel siehe Amcache-Registry-Struktur.

Werte pro Datei#

Für jeden Eintrag in InventoryApplicationFile (dem zentralen Schlüssel) gehören zu den bemerkenswerten Werten:

Name, LowerCaseLongPath — Dateiname und vollständiger Pfad.
FileId — "0000" + SHA-1-Hex der ersten 31 MiB.
Size — Dateigröße in Bytes.
IsPeFile, IsOsComponent — Boolesche Flags.
Publisher, Version, BinFileVersion, ProductName, ProductVersion, FileVersionString — PE-Metadaten.
LinkDate — PE-TimeDateStamp.
Language — PE-Ressource Sprach-ID.
ProgramId — Anwendungs-Identitäts-Hash (44 Zeichen).
Usn — USN-Journal-Eintrag, an dieses Inventar gebunden.

Plus den KeyLastWriteTimestamp auf Registry-Ebene (die Last-Write-Metadaten des Schlüssels selbst), was dem am nächsten kommt, was Amcache als „wann hat der Appraiser das aufgezeichnet?" offenlegt.

Was Amcache nicht enthält#

Prozess-Ausführungs-Historie. Das sind Prefetch, ShimCache und Sysmon / Security 4688.
Netzwerkaktivität. Das sind SRUM, EDR und Firewall-Logs.
Beweise für Skript-Ausführung. PowerShell-Op-Log, AMSI, Sysmon.
Benutzer-Authentifizierungs-Historie. Sicherheitsereignisprotokoll (4624 / 4625 / 4648).
Dateisystem-Metadaten wie Erstellungszeit. Das ist das MFT.

Amcache ergänzt diese Artefakte; es ersetzt sie nicht.

Die Hive lesen#

AmcacheParser (Zimmerman) — produziert CSV pro Kategorie.
RegRipper amcache-Plugin — Text-Bericht.
Der browserbasierte Parser dieser Seite — ziehen Sie eine Hive auf die Startseite, keine Installation.

Für die vollständige Referenz siehe die vollständige Amcache-Referenz.

Was enthält Amcache.hve?

Die obersten Kategorien#

Werte pro Datei#

Was Amcache nicht enthält#

Die Hive lesen#

Verwandte Beiträge