¿Qué versiones de Windows registran DLLs en Amcache?

Windows 10 build 1709 y posterior, y todas las versiones de Windows 11. Los builds anteriores usan el schema legado que es más escaso; algunos registraban DLLs, otros no.

¿Se registran las DLLs en modo kernel (drivers .sys)?

Sí, pero en una clave diferente — Root\InventoryDriverBinary, no InventoryApplicationFile. Los registros de driver tienen campos adicionales como DriverIsKernelMode, DriverSigned y DriverTimeStamp.

¿Registra Amcache cada DLL cargada por cada proceso?

No. Amcache registra DLLs que el Compatibility Appraiser inventarió — es decir, DLLs presentes en rutas escaneadas en el momento del escaneo. No rastrea cargas de DLL por proceso. Para eso, usa Sysmon Event ID 7 (Image Loaded).

¿Cómo puedo distinguir DLLs de EXEs en el CSV de Amcache?

Usa la columna FileExtension o filtra por Name terminando en '.dll'. Ambos están marcados como IsPeFile=True; la distinción está en el nombre del archivo.

¿Puedo pivotar sobre el hash de una DLL con Amcache?

Sí — exactamente como con un EXE. Toma la columna Hash (el SHA-1, despojado del prefijo '0000' de FileId) y úsala para búsquedas en VirusTotal o hunts inter-host. Para correlación con Sysmon, une al campo Hashes del Event ID 7.

¿Registra Amcache.hve las DLLs?

Sí — en Windows 10 build 1709 (Fall Creators Update, octubre de 2017) y posterior, Root\InventoryApplicationFile de Amcache registra tanto EXEs como DLLs clasificadas como archivos PE. Cada entrada de DLL tiene los mismos campos que una entrada de EXE: ruta completa, hash SHA-1 de los primeros 31 MiB, publisher, versión, fecha de link, ProgramId y KeyLastWriteTimestamp. Los builds Windows 10 pre-1709 y Windows 8.1 usan el schema legado, que es más escaso y puede no registrar DLLs de forma consistente.

¿Registra Amcache las DLLs?

Sí — en Windows 10 build 1709 (octubre de 2017) y posterior. La clave Root\InventoryApplicationFile registra tanto EXEs como DLLs que el Compatibility Appraiser clasifica como archivos PE, con el mismo schema para ambos: ruta completa, hash SHA-1, publisher, versión, fecha de link, ProgramId y KeyLastWriteTimestamp.

Los builds anteriores de Windows usaban el schema legado (Root\File y Root\Programs), que era más escaso e inconsistente respecto a las DLLs. Para cualquier investigación moderna de Windows 10/11, asume cobertura de DLLs.

Cómo encontrar DLLs en el CSV#

En *_UnassociatedFileEntries.csv y *_AssociatedFileEntries.csv de AmcacheParser:

Import-Csv .\HOST_amcache_UnassociatedFileEntries.csv |
  Where-Object { $_.Name -like '*.dll' } |
  Select-Object FullPath, Hash, KeyLastWriteTimestamp, Publisher

O filtra por BinaryType — las DLLs a menudo afloran como pe32 o pe64 con extensión .dll.

Cargas de DLL por proceso vs registros de DLL de Amcache#

Estas son señales muy diferentes:

	Registro de DLL en Amcache	Sysmon 7 (Image Loaded)
Disparado por	Pasada de inventario del appraiser	Cada carga de la DLL por proceso
Frecuencia	~Diaria	Tiempo real
¿Registra contexto de proceso?	No	Sí
¿Registra tiempo de carga?	Solo tiempo de inventario	Tiempo de carga por proceso
¿Visibilidad inter-proceso?	No	Sí — por proceso

Para investigaciones enfocadas en qué proceso cargó qué DLL, Sysmon Event ID 7 es el artefacto correcto. Para investigaciones enfocadas en estuvo esta DLL presente en este host, Amcache es el artefacto correcto. La combinación — uniendo Hash de Amcache con Hashes de Sysmon 7 — te da el panorama completo del lado de las DLLs.

Ataques del lado de DLL que Amcache captura#

DLL sideloading. DLL dejada por el atacante junto con un EXE legítimo que la carga. La DLL del atacante aparece en *_UnassociatedFileEntries.csv con una ruta inusual y un Publisher en blanco.
DLLs del sistema hijacked. La misma FullPath apareciendo dos veces con valores de Hash diferentes a través de dos momentos de KeyLastWriteTimestamp — la DLL en esa ruta cambió. Indicador fuerte de reemplazo de binario.
Señuelos de carga reflectiva. La DLL señuelo (la del disco) aparece en Amcache. La versión realmente cargada está solo en memoria y no aparecerá en Amcache — pero Sysmon Event ID 7 capturará la carga.

Para el flujo de trabajo completo de investigación con DLLs, ver Caza de malware comodín con Amcache.

Qué Amcache no captura#

DLLs cargadas solo desde memoria. Los loaders reflectivos (Cobalt Strike, Sliver, Metasploit Meterpreter) cargan DLLs desde buffers, no desde disco. Esas DLLs pueden no tocar nunca un archivo que el appraiser pueda escanear.
DLLs en rutas que el appraiser no escanea. Algunas rutas personalizadas caen fuera del alcance por defecto del appraiser.
Contexto de carga por proceso. Amcache no dice qué proceso cargó la DLL — usa Sysmon 7.

Relacionado#

Estructura del registro Amcache — dónde viven las entradas de DLL.
Amcache FileId explicado — el formato del hash de la DLL.
Caza de malware comodín con Amcache — el playbook de triage del lado de DLL.