Guía de descarga de AmcacheParser: fuentes oficiales, mirrors y verificación
Esta es la guía práctica para instalar AmcacheParser en una estación de analista, tengas acceso completo a Internet, un proxy restrictivo o un laboratorio totalmente aislado. Para el contexto sobre qué hace la herramienta, ver la guía completa de AmcacheParser.
Descarga siempre desde una fuente verificable. Las herramientas de Eric Zimmerman están ampliamente mirrored y ampliamente typosquatteadas. Las fuentes oficiales son
ericzimmerman.github.ioygithub.com/EricZimmerman. Cualquier otra cosa — verifica antes de ejecutar.
Fuentes de descarga oficiales#
1. Get-ZimmermanTools.ps1 (recomendado para analistas)#
El script de instalación mantiene la suite entera — incluido AmcacheParser — actualizada con un comando. Descarga solo las builds framework-dependent de .NET, lo que mantiene un footprint pequeño.
# Ejecutar desde una PowerShell elevada
New-Item -ItemType Directory -Path 'C:\Tools\ZTools' -Force | Out-Null
Set-Location 'C:\Tools\ZTools'
Invoke-WebRequest `
-Uri 'https://raw.githubusercontent.com/EricZimmerman/Get-ZimmermanTools/master/Get-ZimmermanTools.ps1' `
-OutFile 'Get-ZimmermanTools.ps1'
# Traer las builds .NET 6 (funciona en Windows Server 2019+ sin configuración extra)
.\Get-ZimmermanTools.ps1 -Dest 'C:\Tools\ZTools' -NetVersion 6Cuando termine tendrás:
C:\Tools\ZTools\
└── net6\
└── AmcacheParser\
├── AmcacheParser.exe
├── AmcacheParser.dll
└── ... (dependencias del runtime .NET)
Vuelve a ejecutar el script semanalmente (o vía tarea programada)
para mantenerte al día. El script también escribe un
!!!RemoteFileDetails.csv al lado con el SHA-1 de cada archivo
descargado — útil como prueba de cadena de custodia si publicas
tu propio mirror interno.
2. Descarga directa desde ericzimmerman.github.io#
Si tu política de egress bloquea GitHub crudo pero permite
github.io, la página principal
ericzimmerman.github.io lista
cada herramienta con un enlace zip directo. Descarga, descomprime
y AmcacheParser.exe corre en el sitio.
3. Bundle KAPE#
KAPE
incluye AmcacheParser en su directorio Modules\bin tras ejecutar
Get-KAPEUpdate.ps1. No descargas AmcacheParser por separado —
llega como dependencia del módulo AmcacheParser. Es la vía
correcta si ya estandarizas en KAPE para la recolección.
4. Artefacto Velociraptor#
El artefacto Windows.Forensics.Amcache de Velociraptor descarga
AmcacheParser la primera vez que se ejecuta y lo cachea en el
endpoint bajo Tools. Configuras la URL de origen una vez en los
ajustes Tools del servidor; después, cada hunt que lo necesita
tira del cache.
Verificar la descarga#
Eric no publica actualmente firmas separadas, así que la vía práctica de verificación es:
- Pinning TLS a
github.io/github.com— innegociable. No tires AmcacheParser sobre HTTP simple desde un mirror al azar. - Registra el SHA-256 del archivo en la primera descarga, guárdalo en tu registro interno de artefactos y compara cada tirada posterior con el valor guardado.
# Registrar el hash la primera vez
Get-FileHash -Algorithm SHA256 '.\AmcacheParser.zip' |
Format-List Algorithm, Hash, PathSi tu organización opera un mirror interno de paquetes (Artifactory, Nexus, un bucket Git-LFS), el patrón estándar es:
- Descargar una vez sobre Internet en un build host limpio.
- Hashear, firmar con tu clave interna de firma y subir al mirror.
- Que cada estación de analista tire desde el mirror interno firmado.
Así, un analista a las 02:00 en un P1 nunca tiene que tomar una decisión de confianza sobre un mirror al azar bajo presión de tiempo.
Requisitos de sistema#
| Componente | Requisito |
|---|---|
| SO (nativo) | Windows 10 / 11 / Server 2016+ |
| SO (multiplataforma) | Linux / macOS vía dotnet AmcacheParser.dll |
| Runtime | .NET 6 o .NET 9 (según la build descargada) |
| RAM | ~200 MB por análisis de hive; mucho menos para hives típicos |
| Disco | Despreciable (la salida CSV suele ser <50 MB por host) |
Eric publica tanto builds framework-dependent como self-contained. La framework-dependent pesa ~2 MB pero necesita el runtime .NET instalado. La self-contained pesa ~80 MB y corre en un host sin .NET — elige esta para pendrives de triage.
Patrón de instalación en redes aisladas#
Para laboratorios sin egress a Internet:
- En un build host conectado a Internet, ejecuta
Get-ZimmermanTools.ps1 -Dest .\offline -NetVersion 6. - Añade el archivo AmcacheParser self-contained desde
ericzimmerman.github.iopara que analistas en hosts sin .NET también funcionen. - Comprime el directorio
offline\junto con el manifest!!!RemoteFileDetails.csv. Hashea el zip. - Transfiere el zip a través del air gap en medios extraíbles etiquetados o por tu diodo unidireccional.
- En el lado aislado, verifica el hash contra el manifest antes de extraer.
Repite el procedimiento en una cadencia definida (mensual es típico) para que tu laboratorio aislado no se desvíe más de un release por detrás de la build pública.
Una alternativa sin instalación para triage#
Si "instalar AmcacheParser" es en sí el bloqueo — kiosko cerrado, laptop de analista no-Windows, clase de estudiantes — el analizador alojado en este sitio es una reimplementación del camino de lectura en Rust + WebAssembly. Suelta un hive en la página de inicio y obtienes las mismas categorías y campos sin instalar nada. El archivo se analiza completamente en tu navegador; nada se sube.
La versión navegador cubre triage y formación. Para
investigaciones completas en una estación de analista Windows,
usa el AmcacheParser.exe oficial de Eric — es la implementación
canónica y produce el formato CSV que esperan todas las
herramientas downstream.
Ver también#
- Guía completa de AmcacheParser — la referencia canónica sobre la herramienta.
- Cheatsheet CLI de AmcacheParser — cada opción, con ejemplos prácticos.
- Las columnas de salida de AmcacheParser explicadas — qué significa cada columna CSV.
- Entender Amcache para análisis forense de Windows — qué registra el hive y por qué importa.
Artículos relacionados
- Las columnas de salida de AmcacheParser explicadas: cada campo CSV decodificado
Referencia campo por campo para la salida CSV de AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile y cualquier otra columna, con los pivotes que importan en DFIR.
- AmcacheParser: la guía completa de la herramienta de Eric Zimmerman
Una guía definitiva sobre AmcacheParser — qué hace, cómo instalar y ejecutar la CLI de Eric Zimmerman, cómo leer su salida CSV y cuándo elegir la alternativa en el navegador.
- Cheatsheet CLI de AmcacheParser: cada opción, con ejemplos prácticos
Referencia práctica de línea de comandos para AmcacheParser de Eric Zimmerman — cada opción explicada, con patrones KAPE, Velociraptor y batch de PowerShell listos para copiar y pegar.
- Comparativa de analizadores Amcache: AmcacheParser CLI, herramienta navegador, Volatility, RegRipper
Comparativa lado a lado de las cuatro maneras de analizar un hive Windows Amcache.hve en 2026 — AmcacheParser CLI de Eric Zimmerman, herramienta navegador, Volatility 3 y RegRipper.