¿Qué es Amcache.hve? (glosario)

Amcache.hve es la hive del Registro en la que Windows escribe cada PE que el Compatibility Appraiser inventaria. SHA-1 de los primeros 31 MiB, ruta completa, publisher, link date y el tiempo de última escritura de la clave. Un archivo por host. Eso es.

Es uno de los cuatro artefactos que cualquiera de IR en Windows aprende primero, junto a Prefetch, Shimcache y el log de eventos de Security. También es el que más fiablemente sobrevive al binario que registra, por lo que acaba en casi todos los informes.

Lo esencial#

  • Ruta: C:\Windows\AppCompat\Programs\Amcache.hve
  • Logs de transacción: Amcache.hve.LOG1, Amcache.hve.LOG2. Llévatelos. Los dos. Siempre.
  • Formato: hive del Registro estándar (regf). Los mismos parsers que leen SYSTEM leen esto.
  • Quién escribe: la tarea programada del Compatibility Appraiser.
  • Cadencia: aproximadamente a diario en Windows 10/11, más lento en Server, semanas en Server Core endurecido.
  • Retención: larga. Multianual en workstations que llevan tiempo en marcha.
  • Cobertura: archivos PE (EXE, DLL), drivers, dispositivos, aplicaciones instaladas.

Por qué importa#

La hive sobrevive a los binarios que registra. Un atacante que limpia una herramienta del disco deja la ruta, el hash, el publisher y el tiempo de inventario sentados en la hive, a menudo durante meses. La mejor pieza de suerte forense que Microsoft ha dado a los defensores.

Para la referencia larga, ve la Referencia completa de Amcache. Para dónde vive el archivo y cómo cogerlo, ve Dónde está Amcache.hve en disco. Para el interior de la hive, ve Estructura del Registro de Amcache.

Términos relacionados#

Artículos relacionados

Volver a todos los artículos