¿Qué analizador Amcache debería usar?

Para un triaje puntual sobre un único hive sin instalación: la herramienta navegador. Para procesamiento por lotes, integración KAPE / Velociraptor o un pipeline forense documentado: AmcacheParser CLI de Eric Zimmerman. Para workflows de forense de memoria donde Amcache convive con otros plugins de registro: Volatility 3. Para equipos ya estandarizados en RegRipper: el plugin amcache.pl.

¿Es el analizador Amcache navegador tan preciso como AmcacheParser CLI?

Mismo formato de hive, mismos campos analizados. El analizador navegador implementa el lector de hive de registro en Rust compilado a WebAssembly y decodifica el mismo esquema Inventory* que maneja AmcacheParser. Las diferencias están en la UX — el CLI es scriptable y escribe un CSV por categoría, la herramienta navegador ofrece una tabla interactiva e indicios de riesgo — no en los valores analizados en sí.

¿Se puede usar AmcacheParser en Linux o macOS?

Sí. AmcacheParser es .NET — instala el runtime de .NET y ejecuta `dotnet AmcacheParser.dll` en Linux o macOS, o usa el analizador navegador que funciona en cualquier navegador moderno con independencia del OS anfitrión.

¿Requiere el plugin Amcache de Volatility una captura de memoria?

No. El plugin windows.registry.amcache trabaja contra cualquier hive de registro, ya sea extraído de la memoria o sacado de disco. Es sobre todo útil cuando Amcache ya es parte de una investigación Volatility centrada en la memoria.

¿Cuál es el analizador estándar de facto en DFIR?

AmcacheParser de Eric Zimmerman. Es la herramienta que KAPE y Velociraptor invocan, la citada en el material de SANS y la referencia para la semántica de los campos. La herramienta navegador, el plugin de Volatility y el plugin de RegRipper se calibran todos contra la salida de AmcacheParser.

Comparativa analizadores Amcache: AmcacheParser, navegador, Volatility, RegRipper

TL;DR — la regla de decisión de cuatro herramientas. Triaje puntual sin instalación: herramienta navegador. Pipeline batch / KAPE / Velociraptor: AmcacheParser CLI de Eric Zimmerman. Workflow de forense de memoria con otros plugins de registro: Volatility 3. Ya estandarizado en un framework de plugins de registro: amcache.pl de RegRipper.

Cuatro herramientas maduras analizan Amcache.hve en 2026. Producen salidas solapadas a partir del mismo hive — la pregunta es cuál encaja en tu workflow, no cuál es la «correcta».

Esta página las compara en las dimensiones que realmente importan al analista: huella de instalación, plataformas soportadas, formato de salida, capacidad de batch y dónde gana cada herramienta.

Para el artefacto en sí (qué es Amcache, qué registra, la semántica de los campos), ver la referencia completa de Amcache. Para una inmersión profunda en cada herramienta, ver las guías enlazadas más abajo.

Comparativa de un vistazo#

Herramienta	Instalación	Plataforma	Salida	Batch / scripting	Interfaz	Mejor para
AmcacheParser de Eric Zimmerman	Runtime .NET	Windows nativo, Linux/macOS vía `dotnet`	Un CSV por categoría Inventory*	Excelente	❌ (solo CLI)	Pipelines KAPE / Velociraptor, hosts en batch
amcacheparser.com (navegador)	Ninguna	Cualquier navegador moderno (WebAssembly)	Tabla interactiva, CSV, JSON	Un hive por sesión	✅	Triaje puntual, entornos sin instalación, formación
Volatility 3 (`windows.registry.amcache`)	Volatility 3 + Python 3	Multiplataforma	Texto / JSON vía volshell	Scriptable	❌	Workflows de forense de memoria, combinado con otros plugins de registro
RegRipper (`amcache.pl`)	Perl + RegRipper	Multiplataforma	Reporte en texto	Scriptable	❌	Equipos ya estandarizados en RegRipper

AmcacheParser de Eric Zimmerman (CLI)#

El estándar de facto. Una aplicación de consola .NET que lee Amcache.hve y escribe siete CSV — uno por categoría Inventory* (AssociatedFileEntries, UnassociatedFileEntries, ProgramEntries, ShortcutEntries, DriverBinaries, DevicePnps, DeviceContainers) más los esquemas legacy Programs / File cuando están presentes.

Por qué domina el campo

KAPE y Velociraptor lo invocan directamente. Si tu pipeline de recolección utiliza alguno de los dos, AmcacheParser ya está en el bucle.
La semántica de los campos es la referencia documentada. Toda otra salida de analizador se calibra contra las columnas CSV de AmcacheParser.
Scriptable. Un ejecutable, una entrada, salida CSV determinista → trivialmente dirigido desde PowerShell, bash o un job de ingesta SIEM.

Dónde aprieta

Requiere runtime .NET. Nativo en Windows; en Linux/macOS necesitas dotnet instalado. No es un problema en una VM forense, ocasionalmente inconveniente en un puesto de triaje.
Solo CLI. Sin filtrado interactivo, sin indicios de riesgo, sin visualización. Ingestionas los CSV en lo que ya utilizas (Timeline Explorer, Excel, Splunk).

Cobertura completa: Guía completa de AmcacheParser · Cheatsheet CLI · Columnas de salida explicadas · Guía de descarga.

amcacheparser.com (navegador, WebAssembly)#

La herramienta de este sitio. El analizador de hive está escrito en Rust, compilado a WebAssembly, y se ejecuta enteramente en la pestaña del navegador. El archivo que sueltas en la página se lee en memoria mediante JavaScript y se pasa al módulo WebAssembly — no se produce ningún envío.

Por qué los analistas la usan

Cero instalación. Cualquier navegador moderno funciona — Chrome, Firefox, Safari, Edge — en cualquier OS, incluidos entornos air-gapped tras un único espejo del sitio estático.
Triaje visual. Categorías en pestañas, indicios de riesgo por fila (PE sin firma, rutas AppData/Temp, drivers sin firma), búsqueda en línea, filtro «solo unassociated», exportación CSV por categoría.
Privacidad por construcción. Como nada sale del dispositivo, la herramienta es segura para hives sujetos a políticas de manejo de datos que prohíben la subida.

Dónde aprieta

Un hive por sesión. ¿Procesamiento por lotes de 200 hosts? Usa el CLI.
Sin integración KAPE / Velociraptor. La herramienta navegador es para el paso de triaje humano, no para el paso de recolección.

Volatility 3 (`windows.registry.amcache`)#

Un plugin de análisis de registro dentro de Volatility 3. Funciona contra una captura de memoria (donde el hive se reconstruye a partir de páginas de registro en memoria) o contra un hive de registro offline en disco.

Por qué recurrir a él

Vive junto a otros plugins de registro. Si ya estás ejecutando Volatility para una investigación de memoria, añadir el análisis Amcache está a un vol.py -f memory.raw windows.registry.amcache de distancia.
Multiplataforma. Python puro, sin dependencia .NET.

Dónde aprieta

Menos detalle que AmcacheParser. El plugin saca a la luz los campos centrales pero no reproduce el desglose completo por categoría de AmcacheParser.
Requiere setup de Volatility. No es una herramienta de primera pasada para alguien que solo necesita mirar un hive.

Ver Plugins de Volatility para análisis Amcache para la referencia completa del plugin.

RegRipper (`amcache.pl`)#

RegRipper es un framework de análisis de registro basado en Perl con un sistema de plugins por hive. El plugin amcache.pl lee el hive y produce un reporte en texto plano.

Por qué recurrir a él

Ecosistema de plugins. Si tu equipo ya ejecuta RegRipper para análisis SYSTEM/SOFTWARE/NTUSER, añadir el plugin Amcache mantiene todo en el mismo workflow.
Bien conocido en DFIR. RegRipper existe desde 2006 — su formato de salida es familiar a toda una generación de analistas.

Dónde aprieta

Salida en texto plano. Menos amigable para la máquina que el CSV para ingesta SIEM.
Menos activamente desarrollado que AmcacheParser. La cobertura de campos puede ir por detrás de los últimos cambios de esquema Windows.

Ver Referencia del plugin Amcache de RegRipper para los detalles del plugin.

Reglas de decisión#

La respuesta honesta a «¿qué analizador debería usar?» es todos, en contextos diferentes:

Investigación en un único host, pregunta puntual, sin instalación posible → analizador navegador.
Engagement multi-host, recolección KAPE / Velociraptor → AmcacheParser CLI de Eric Zimmerman alimentando Timeline Explorer o tu SIEM.
Workflow de forense de memoria, hive reconstruido desde RAM → plugin windows.registry.amcache de Volatility 3.
Ya estandarizado en RegRipper para los otros hives de registro → plugin amcache.pl de RegRipper.

Para la mayoría de equipos DFIR el setup práctico es AmcacheParser de EZ en el pipeline de recolección + analizador navegador para el paso de triaje humano — el CLI gestiona el batch y la procedencia, el navegador gestiona el momento «¿qué significa realmente esta entrada?».

Véase también#

Referencia completa de Amcache — el artefacto en sí, cada campo decodificado.
Amcache vs ShimCache, Amcache vs Prefetch, Amcache vs SRUM — cuándo Amcache es y no es el artefacto adecuado.
Cheatsheet CLI AmcacheParser — cada flag con ejemplos concretos.

Comparativa analizadores Amcache: AmcacheParser, navegador, Volatility, RegRipper

Comparativa de un vistazo#

AmcacheParser de Eric Zimmerman (CLI)#

amcacheparser.com (navegador, WebAssembly)#

Volatility 3 (windows.registry.amcache)#

RegRipper (amcache.pl)#

Reglas de decisión#

Véase también#

Artículos relacionados

Volatility 3 (`windows.registry.amcache`)#

RegRipper (`amcache.pl`)#