¿Es Amcache.hve un archivo de log?

No. Amcache.hve es un hive del registro de Windows, no un archivo de log.

Usa el mismo formato binario que los hives SYSTEM, SOFTWARE, SAM, SECURITY y NTUSER.DAT. El archivo es un árbol estructurado de claves y valores tipados — añadidos, actualizados y ocasionalmente borrados en su sitio — no un flujo append-only de eventos.

Específicamente:

  • Un archivo de log registra eventos secuencialmente. Cada línea es un evento discreto; los lectores parsean línea por línea.
  • Un hive del registro almacena un árbol de claves (como carpetas) y valores (tipados: REG_SZ, REG_DWORD, REG_QWORD, etc.). Los lectores recorren el árbol.

Amcache contiene, por ejemplo, una subclave por cada binario PE inventariado bajo Root\InventoryApplicationFile. Cada subclave contiene 15-20 valores tipados: nombre, ruta, hash SHA-1, fecha de link, publisher, versión, y así sucesivamente.

¿Y qué hay de Amcache.hve.LOG1 y Amcache.hve.LOG2?#

Esos sí son archivos de log — pero son journals de transacciones del registro, no logs de eventos. Son el mismo mecanismo de log write-ahead que usa cada hive del registro para almacenar en buffer las escrituras recientes antes de que se vuelquen al archivo principal del hive. No son legibles por humanos y no se usan para auditoría de eventos.

Recoge siempre los tres archivos juntos — el hive y ambos logs. Si tomas solo el hive, puedes perder silenciosamente las escrituras más recientes que todavía están en los logs.

Para las rutas del archivo y el flujo de trabajo de recolección, ver Dónde está Amcache.hve en disco.

Cómo leer Amcache.hve#

Necesitas un parser consciente del hive:

  • AmcacheParser.exe (Eric Zimmerman) — el parser canónico del lado Windows. Produce CSV por cada categoría Inventory*. Ver la guía completa de AmcacheParser.
  • Plugin de RegRipper para amcache (Harlan Carvey) — salida de reporte de texto. Ver Plugin amcache de RegRipper.
  • Parser basado en navegador de este sitio — Rust + WebAssembly, sin instalación. Suelta el hive en la página de inicio.

Para el contexto más amplio del artefacto, ver la referencia completa de Amcache.

Etiquetasqaforensewindowsamcache

Artículos relacionados

  • ¿Por qué mi Amcache.hve está vacío?

    Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.

  • ¿Dónde está la clave del registro de Amcache?

    Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.

  • ¿Qué contiene Amcache.hve?

    Amcache.hve contiene registros de inventario para cada binario PE, driver y dispositivo conectado que el Compatibility Appraiser de Windows ha visto — con hashes SHA-1, rutas, publishers y marcas de tiempo.

  • ¿Cuál es la diferencia entre un archivo .pf y una entrada de Amcache?

    Los archivos .pf son registros de Windows Prefetch — prueba de que un binario se ejecutó, con marcas de tiempo de ejecución y listas de archivos cargados. Las entradas de Amcache registran presencia, con el hash SHA-1 y metadatos.

Volver a todos los artículos