Wer hat AmcacheParser erstellt?
AmcacheParser wurde von Eric Zimmerman erstellt, einem ehemaligen FBI Special Agent und aktuellen Senior Director bei Kroll. Er pflegt es als Teil seiner kostenlosen, Open-Source- DFIR-Tool-Suite, veröffentlicht unter ericzimmerman.github.io.
Eric veröffentlicht seit über einem Jahrzehnt Forensik-Tools. Seine Suite — gewöhnlich als „Zimmerman-Tools" oder „Get-ZimmermanTools" bezeichnet — ist der De-facto-Standard- Windows-DFIR-Werkzeugkasten.
Eric Zimmermans Hintergrund#
- Ehemaliger FBI Special Agent mit Spezialisierung auf digitale Forensik.
- Aktuell Senior Director bei Kroll, wo er das Tooling für die Incident-Response-Praxis der Firma leitet.
- SANS-Instruktor für FOR498 (Battlefield Forensics) und Mitwirkender bei FOR500 (Windows Forensic Analysis). Das SANS-DFIR-Curriculum nutzt seinen Werkzeugkasten ausgiebig.
- Autor vieler DFIR-Community-Beiträge einschließlich Blogposts, Konferenzvorträgen und der EZTools-Pflege.
Die Zimmerman-Tool-Suite#
AmcacheParser ist eines von rund einem Dutzend Tools, die Eric pflegt:
| Tool | Parst |
|---|---|
| AmcacheParser | Amcache.hve |
| MFTECmd | $MFT, $LogFile, $J, $Boot, $SDS |
| RECmd | Jede Registry-Hive (Batch-Prozessor) |
| RBCmd | Papierkorb ($I*-Dateien) |
| PECmd | Windows Prefetch |
| EvtxECmd | Windows-Ereignisprotokolle (.evtx) |
| JLECmd | Jump Lists |
| LECmd | Windows-LNK-Dateien |
| SBECmd | Shellbags |
| AppCompatCacheParser | ShimCache |
| SrumECmd | SRUM (SRUDB.dat) |
Alle MIT-lizenziert. Alle für kommerzielle Nutzung kostenlos. Alle produzieren strukturierte CSV, die sauber in Erics begleitende Timeline Explorer-GUI geladen wird.
Wie man die Suite installiert#
Verwenden Sie das offizielle Get-ZimmermanTools.ps1-
Installationsskript:
mkdir C:\Tools\ZTools
cd C:\Tools\ZTools
Invoke-WebRequest `
-Uri 'https://raw.githubusercontent.com/EricZimmerman/Get-ZimmermanTools/master/Get-ZimmermanTools.ps1' `
-OutFile Get-ZimmermanTools.ps1
.\Get-ZimmermanTools.ps1 -Dest C:\Tools\ZTools -NetVersion 6Dies lädt die gesamte Suite, einschließlich AmcacheParser, nach
C:\Tools\ZTools herunter. Führen Sie es regelmäßig erneut aus,
um aktuell zu bleiben. Für Verifikationsmuster und Mirror-
Konfiguration siehe den
AmcacheParser-Download-Leitfaden.
Ist diese Seite (amcacheparser.com) von Eric?#
Nein. Der browserbasierte Parser, gehostet unter amcacheparser.com, ist ein unabhängiges Projekt. Er ist eine In-Browser-Reimplementierung des Amcache-Lesepfads in Rust + WebAssembly, entwickelt für Triage und Ausbildung. Er ist nicht mit Eric oder Kroll verbunden.
Wir geben Eric in der gesamten Dokumentation Anerkennung, weil
seine Arbeit am ursprünglichen AmcacheParser.exe und seine
Veröffentlichung des Amcache-Schema-Wissens das sind, was dies
alles ermöglicht hat.
Verwandt#
- AmcacheParser-Komplettleitfaden — die kanonische Tool-Referenz.
- Ist AmcacheParser kostenlos?
- AmcacheParser-Download-Leitfaden
Verwandte Beiträge
- Ist AmcacheParser kostenlos?
Ja. AmcacheParser ist für jede Verwendung kostenlos, einschließlich kommerzieller DFIR-Arbeit, veröffentlicht unter einer permissiven Lizenz von Eric Zimmerman.
- Warum ist meine Amcache.hve leer?
Drei häufige Ursachen: Der Compatibility Appraiser ist deaktiviert, der Host wurde frisch installiert oder Sie sammeln von einem Server / Server Core, auf dem der Appraiser viel seltener läuft.
- Wo ist der Amcache-Registry-Schlüssel?
Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.
- Was enthält Amcache.hve?
Amcache.hve enthält Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber und jedes verbundene Gerät, das der Windows Compatibility Appraiser gesehen hat — mit SHA-1-Hashes, Pfaden, Herausgebern und Zeitstempeln.