¿Qué es Amcache.hve? (glosario)
Amcache.hve es un hive del registro de Windows que registra
cada binario PE que el Microsoft Compatibility Appraiser ha
inventariado en el host. Cada entrada de inventario incluye la
ruta completa del archivo, un hash SHA-1 de los primeros ~31 MiB,
la fecha de link del PE, el publisher, la versión y una marca de
tiempo de cuándo el appraiser registró la entrada.
Es uno de los cuatro artefactos fundacionales de Windows DFIR — junto con Prefetch, ShimCache y el log de eventos de Seguridad — y la mejor fuente única de evidencia post-eliminación de qué binarios estuvieron presentes en un host.
De un vistazo#
- Ruta:
C:\Windows\AppCompat\Programs\Amcache.hve - Archivos acompañantes:
Amcache.hve.LOG1,Amcache.hve.LOG2(journals de transacciones — recógelos siempre junto con el hive) - Formato: hive del registro de Windows estándar (igual que
SYSTEM,SOFTWARE) - Poblado por: la tarea programada Compatibility Appraiser
- Cadencia de actualización: aproximadamente diaria en estaciones de trabajo Windows 10 / 11
- Retención: meses a años en hosts de larga vida
- Registra: archivos PE (EXE, DLL), drivers, dispositivos, aplicaciones
Por qué les importa a los analistas#
Amcache sobrevive a los binarios que registra. Un wiper puede borrar un archivo del disco; la instantánea de inventario — incluyendo el hash, ruta y metadatos del archivo — típicamente persiste en el hive mucho después. Eso convierte a Amcache en el artefacto de Windows más fiable para responder "¿estuvo este binario alguna vez presente en este host?" cuando el propio binario ya no está.
Para la referencia más amplia del artefacto, ver la referencia completa de Amcache; para la ruta del archivo y el flujo de trabajo de recolección, ver Dónde está Amcache.hve en disco; para la estructura del registro dentro del hive, ver Estructura del registro Amcache.
Términos relacionados#
- Compatibility Appraiser — la tarea programada que puebla Amcache.
- InventoryApplicationFile — la clave estrella del registro dentro de Amcache.
- FileId — el identificador de contenido basado en SHA-1 que lleva cada entrada.
- ShimCache y Prefetch — artefactos vecinos en la pila de evidencia de ejecución de Windows.
Para explorar un archivo Amcache.hve en tu navegador sin instalar
nada, suéltalo en la página de inicio del parser.
Artículos relacionados
- ¿Qué es Amcache ProgramId? (glosario)
ProgramId es el hash de identidad de aplicación de 44 caracteres que Amcache asigna a cada aplicación lógica. El mismo ProgramId en hosts diferentes significa la misma instalación de aplicación.
- ¿Qué es LinkDate en Amcache? (glosario)
LinkDate es el TimeDateStamp de la cabecera PE que registra Amcache — cuándo se compiló o enlazó el binario, no cuándo apareció en el host.
- ¿Qué es KeyLastWriteTimestamp en Amcache? (glosario)
KeyLastWriteTimestamp es el tiempo de última escritura a nivel del registro de una entrada de Amcache — lo más cercano que expone Amcache a 'cuándo el appraiser registró este archivo'.
- ¿Qué es Root\InventoryApplicationFile? (glosario)
InventoryApplicationFile es la clave estrella del registro de Amcache — una subclave por cada binario PE inventariado por el appraiser, con ruta, SHA-1, publisher, fecha de link y marcas de tiempo.