¿Es AmcacheParser gratuito?

Sí. AmcacheParser es gratuito para cualquier uso — personal, comercial, interno, engagements de consultoría, trabajo gubernamental, formación. Está publicado bajo la licencia MIT por Eric Zimmerman en GitHub y en ericzimmerman.github.io.

No hay tiers, no hay pantallas molestas, no hay telemetría, no hay cuenta, no hay límites.

Quién lo publica#

Eric Zimmerman es un antiguo agente especial del FBI y actualmente Senior Director en Kroll. Ha publicado tooling DFIR open-source durante más de una década. AmcacheParser es una de alrededor de una docena de herramientas que mantiene — las otras incluyen:

  • MFTECmd — parser de $MFT, $LogFile, $J, $Boot, $SDS
  • RECmd — procesador del registro por línea de comandos y batch
  • RBCmd — parser de la Papelera de Reciclaje
  • PECmd — parser de Prefetch
  • EvtxECmd — parser de Windows Event Log
  • JLECmd — parser de Jump List
  • LECmd — parser de LNK
  • SBECmd — CLI de Shellbag Explorer
  • AppCompatCacheParser — parser de ShimCache
  • SrumECmd — parser de SRUM

Todos gratuitos, todos bajo licencia MIT.

Alternativas comerciales#

Varias suites DFIR comerciales también parsean Amcache como parte de paquetes más grandes:

  • Magnet AXIOM — plataforma DFIR integrada de Magnet Forensics.
  • X-Ways Forensics — suite DFIR alemana.
  • EnCase — plataforma forense clásica de OpenText.
  • FTK — toolkit forense de Exterro.

Estas son de pago (a menudo $$$$) pero empaquetan docenas de parsers de artefactos, características de gestión de evidencia y certificaciones. Para Amcache específicamente — es decir, si solo necesitas parsear el hive — AmcacheParser es la opción gratuita canónica y produce salida que la mayoría de plataformas de pago pueden ingerir.

¿Hay alguna trampa?#

Funcionalmente: no. En la práctica, dos limitaciones a tener en cuenta:

  1. Sin soporte de vendor. AmcacheParser es open source. Si encuentras un bug, el camino correcto es un issue de GitHub, no un ticket de soporte. Eric y la comunidad son responsivos pero no hay SLA.
  2. Windows-first. La herramienta corre multiplataforma vía .NET, pero la documentación y el ecosistema asumen Windows. Los usuarios Linux / macOS siguen la guía Linux/macOS.

¿Y qué hay de este sitio?#

El parser basado en navegador en amcacheparser.com es también gratuito y corre enteramente del lado cliente. Es una reimplementación independiente del camino de lectura de Amcache en Rust + WebAssembly, diseñada para triage y educación. No está afiliado con Eric o Kroll. El archivo que sueltas en la página se parsea en tu navegador y nunca se envía a un servidor.

Para investigaciones completas en una estación de trabajo de analista Windows, usa el AmcacheParser.exe de Eric. Para triage o escenarios sin instalación, usa la versión basada en navegador. Ambos son gratuitos.

Relacionado#

Etiquetasqaamcacheparserlicencia

Artículos relacionados

  • ¿Quién creó AmcacheParser?

    Eric Zimmerman, un antiguo agente especial del FBI y actual Senior Director en Kroll, creó AmcacheParser como parte de su suite de herramientas DFIR open-source.

  • ¿Por qué mi Amcache.hve está vacío?

    Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.

  • ¿Dónde está la clave del registro de Amcache?

    Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.

  • ¿Qué contiene Amcache.hve?

    Amcache.hve contiene registros de inventario para cada binario PE, driver y dispositivo conectado que el Compatibility Appraiser de Windows ha visto — con hashes SHA-1, rutas, publishers y marcas de tiempo.

Volver a todos los artículos