¿Funciona AmcacheParser en Linux?

Sí — instala el runtime de .NET (.NET 6 o .NET 9, coincidiendo con el build que descargaste) y corre 'dotnet AmcacheParser.dll' con los mismos flags que el .exe de Windows. La salida es idéntica.

¿Funciona AmcacheParser en macOS (Intel y Apple Silicon)?

Sí — mismo enfoque que en Linux. Instala .NET vía 'brew install dotnet' o el instalador oficial de .NET, luego corre 'dotnet AmcacheParser.dll'.

¿Cuál es la opción más fácil sin instalación?

Suelta Amcache.hve en amcacheparser.com — el parser basado en navegador corre en WebAssembly y funciona en cualquier navegador moderno en cualquier OS. El archivo se parsea enteramente en tu navegador y nunca se envía a un servidor.

¿Puedo parsear Amcache con Python en Linux?

Sí, usando la librería hivex (apt install python3-hivex en Debian/Ubuntu) o python-registry. Tendrás que recorrer manualmente las claves Inventory* y decodificar los valores FILETIME — no hay un parser de Amcache Python listo para usar que coincida con el schema CSV de AmcacheParser.

¿Y qué hay de Volatility en Linux?

Volatility (compatible con Linux) extrae Amcache de una imagen de memoria de Windows, luego parseas el hive volcado con uno de los métodos anteriores. Ver la guía dedicada.

¿Cómo leo Amcache.hve en Linux o macOS?

No necesitas Windows para leer Amcache. Tres buenas opciones, en orden de "DFIR de producción" a "triage rápido":

Opción 1 — `dotnet AmcacheParser.dll` (recomendada para analistas)#

Eric Zimmerman publica un build de AmcacheParser dependiente de framework en .NET que corre en cualquier sitio donde .NET corra. Misma herramienta, mismos flags, misma salida que Windows.

# Instalar el runtime de .NET
# Debian/Ubuntu
sudo apt install dotnet-runtime-6.0
 
# RHEL/Fedora
sudo dnf install dotnet-runtime-6.0
 
# macOS
brew install dotnet
 
# Luego corre AmcacheParser
dotnet /opt/ztools/net6/AmcacheParser/AmcacheParser.dll \
  -f   /cases/inc-042/HOST01/Amcache.hve \
  --csv /cases/inc-042/HOST01/out \
  --csvf HOST01_amcache.csv \
  --mp

Mismos CSVs por categoría que obtendrías en Windows. Esta es la elección correcta para investigaciones completas en un host de analista no-Windows.

Opción 2 — basado en navegador (sin instalación)#

Suelta Amcache.hve en la página de inicio de este sitio y el parser corre enteramente en tu navegador. El archivo nunca abandona tu navegador — el parseo es Rust del lado cliente compilado a WebAssembly. Funciona en:

Cualquier OS de escritorio / laptop con un navegador moderno (Chrome, Firefox, Safari, Edge).
ChromeOS, BSD, cualquier cosa con un navegador.
Dispositivos móviles (Android, iOS) — aunque la UI es desktop-first.

Mejor para triage, educación y búsquedas rápidas cuando no quieres instalar nada. Para investigaciones completas, usa la Opción 1.

Opción 3 — libhivex / Python#

Para acceso programático, libhivex (la librería Linux de hives del registro) tiene bindings de Python:

import hivex
h = hivex.Hivex('/cases/inc-042/HOST01/Amcache.hve')
root = h.root()
# Recorre Root\InventoryApplicationFile
inv = h.node_get_child(root, 'Root')
inv_files = h.node_get_child(inv, 'InventoryApplicationFile')
for child in h.node_children(inv_files):
    name = h.node_name(child)
    values = {h.value_key(v): h.value_value(v) for v in h.node_values(child)}
    print(name, values)

Tendrás que decodificar los valores FILETIME de Windows, parsear el formato "0000" + SHA-1 de FileId y recorrer el árbol tú mismo. No hay un parser de Amcache Python listo para usar con el mismo schema CSV que AmcacheParser — pero si necesitas acceso programático / scripteado, hivex es la primitiva correcta.

¿Y qué hay de Volatility?#

Si solo tienes una imagen de memoria de Windows (sin disco), usa Volatility para volcar la copia en memoria de Amcache, luego alimenta el archivo volcado a una de las opciones anteriores.

# Volatility 3 — encuentra el hive en la lista de hives
vol -f memory.dmp windows.registry.hivelist | grep -i amcache
 
# Vuélcalo
vol -f memory.dmp windows.registry.dumphive --offset 0xfffff8a0... > Amcache.hve
 
# Luego parsea con AmcacheParser como arriba

Ver Volatility y Amcache para el flujo de trabajo completo de extracción de memoria.

Decisión rápida#

Quieres...	Usa
Investigación completa, CSV estructurado	Opción 1 (`dotnet AmcacheParser.dll`)
Triage rápido / vistazo puntual	Opción 2 (navegador)
Script personalizado / integración en pipeline	Opción 3 (libhivex / Python)
Parsear desde un dump de memoria	Volatility → Opción 1

Para el contexto más amplio del artefacto, ver la referencia completa de Amcache.