Wie lautet der Dateipfad von Amcache?

C:\Windows\AppCompat\Programs\Amcache.hve auf jeder unterstützten Windows-Version ab Windows 8. Die begleitenden Transaktionsprotokolle sind Amcache.hve.LOG1 und Amcache.hve.LOG2 im selben Verzeichnis.

Kann ich Amcache in regedit sehen?

Standardmäßig nicht. Amcache ist eine eigene Hive, nicht ständig unter HKLM geladen. Sie können sie manuell über regedit laden: Datei > Struktur laden, auf C:\Windows\AppCompat\Programs\Amcache.hve zeigen und einen Mount-Namen wählen. Auf einem Live-Host wird die Datei jedoch vom Appraiser offengehalten, also müssen Sie sie zuerst kopieren.

Was ist der oberste Schlüssel innerhalb von Amcache?

Root. Alles liegt unter Root: Root\InventoryApplicationFile (der Hauptschlüssel), Root\InventoryApplication, Root\InventoryDriverBinary, Root\InventoryDeviceContainer, Root\InventoryDevicePnp, Root\InventoryApplicationShortcut, plus die Legacy-Schlüssel Root\Programs und Root\File aus älterem Windows.

Wo lebte Amcache vor Windows 8?

Gar nicht. Windows 7 / Server 2008 R2 verwendeten RecentFileCache.bcf, eine flache Binärdatei unter C:\Windows\AppCompat\Programs\RecentFileCache.bcf — keine Registry-Hive.

Wie liste ich die Schlüssel in Amcache auf, ohne das Ganze zu parsen?

Verwenden Sie AmcacheParser mit --debug, um die Schlüssel zu sehen, die es ablaufen, oder verwenden Sie reg.exe nach dem Laden der Hive: reg load HKLM\TempAmcache 'C:\copy of Amcache.hve' && reg query HKLM\TempAmcache\Root. Vergessen Sie danach nicht reg unload.

Wo ist der Amcache-Registry-Schlüssel?

Amcache ist eine eigenständige Hive-Datei, kein Schlüssel unter einer der Standard-HKLM-Hives. Die Datei liegt unter:

C:\Windows\AppCompat\Programs\Amcache.hve
C:\Windows\AppCompat\Programs\Amcache.hve.LOG1
C:\Windows\AppCompat\Programs\Amcache.hve.LOG2

Wenn der Compatibility Appraiser die Hive lädt (oder wenn Sie sie manuell mit reg.exe laden), wird der Inhalt unter HKLM\Amcache mit diesen bemerkenswerten Unterschlüsseln eingehängt:

Root\
├── InventoryApplicationFile     ← der zentrale Schlüssel
├── InventoryApplication
├── InventoryDriverBinary
├── InventoryDeviceContainer
├── InventoryDevicePnp
├── InventoryApplicationShortcut
├── Programs   (Legacy)
└── File       (Legacy)

Für die vollständige Tour Schlüssel für Schlüssel siehe Amcache-Registry-Struktur.

Warum sie standardmäßig nicht in HKLM ist#

Amcache ist eine von mehreren „lazy-mounted" Hives — Windows lädt sie bei Bedarf, wenn der Appraiser sie benötigt, und entlädt sie danach. Das ist dasselbe Muster wie bei benutzerspezifischen NTUSER.DAT-Hives: sie werden nur eingehängt, wenn der Benutzer angemeldet ist.

Auf einem laufenden System können Sie sehen, ob Amcache aktuell geladen ist, mit:

Get-ChildItem HKLM:\ | Where-Object Name -like '*Amcache*'

Wenn der Appraiser mitten in einem Lauf ist, sehen Sie möglicherweise HKLM\Amcache aufgeführt. Die meiste Zeit ist die Hive entladen und die Datei geschlossen.

Die Hive manuell laden#

Um die Hive in regedit oder reg.exe zu inspizieren:

# 1. Copy the live hive to a working directory (file is locked while loaded)
Copy-Item 'C:\Windows\AppCompat\Programs\Amcache.hve' 'C:\Triage\' -Force
 
# 2. Load the copy into a temporary mount point
reg load HKLM\TempAmcache 'C:\Triage\Amcache.hve'
 
# 3. Query
reg query HKLM\TempAmcache\Root
reg query HKLM\TempAmcache\Root\InventoryApplicationFile
 
# 4. Always unload when done
reg unload HKLM\TempAmcache

Für die meisten DFIR-Zwecke verwenden Sie stattdessen AmcacheParser — er parst die Hive direkt, ohne sie laden zu müssen, produziert strukturierte CSVs und behandelt Transaktionsprotokolle automatisch.

Verwandt#

Wo Amcache.hve auf der Festplatte liegt — die Pfadreferenz pro Version + Sammel-Workflow.
Amcache-Registry-Struktur — jeder Schlüssel innerhalb der Hive.
AmcacheParser-Komplettleitfaden — der kanonische Parser.

Wo ist der Amcache-Registry-Schlüssel?

Warum sie standardmäßig nicht in HKLM ist#

Die Hive manuell laden#

Verwandt#

Verwandte Beiträge