Plugin amcache de RegRipper: qué hace y cuándo usarlo
RegRipper de
Harlan Carvey es el más antiguo de los dos parsers del
registro ampliamente usados en DFIR — RECmd de la suite Zimmerman
es el más nuevo. La arquitectura de plugins de RegRipper ha
soportado Amcache durante años vía el plugin amcache y sus
variantes (amcache_tln para salida de timeline).
Si ya estás usando RegRipper para el resto de tu trabajo del
registro, el plugin amcache es la herramienta correcta para
parseo interactivo, en reporte de texto de Amcache.hve. Si
necesitas CSV estructurado para herramientas downstream,
AmcacheParser.exe es la mejor opción.
Esta página cubre qué hace el plugin amcache de RegRipper, cómo
se ve su salida, cuándo recurrir a él y cómo se compara con
AmcacheParser.
Para la referencia más amplia del artefacto, ver la referencia completa de Amcache; para AmcacheParser específicamente, ver la guía completa de AmcacheParser.
Qué hace el plugin#
El plugin amcache abre Amcache.hve, recorre las mismas claves
que AmcacheParser recorre (Root\InventoryApplicationFile, la
legacy Root\Programs, etc., según la variante del plugin),
decodifica los valores tipados y escribe un reporte de texto
plano a la salida estándar.
Invocación típica:
# Linux / WSL / macOS con Perl
rip.pl -r /path/to/Amcache.hve -p amcache > amcache_report.txt
# Windows
rip.exe -r C:\Triage\Amcache.hve -p amcache > amcache_report.txtEl reporte está organizado por clave y contiene, para cada entrada, un bloque legible para humanos con la ruta del archivo, hash, publisher, versión, marcas de tiempo, etc. No hay CSV por fila; la unidad de salida es el bloque de texto formateado.
Variantes#
Algunos plugins relacionados existen en el repositorio de RegRipper:
| Plugin | Salida |
|---|---|
amcache |
Reporte de texto estándar por clave. |
amcache_tln |
Salida en formato TLN (timeline) apta para ingestión en frameworks TLN. |
appcompatcache |
Parser de ShimCache (artefacto diferente — ver Amcache vs ShimCache). |
Usa el que coincida con tu herramental downstream.
Cómo se ve la salida#
Un bloque de salida representativo del plugin amcache
(parafraseado, formato aproximado):
File Reference : 0xABCD123456789ABC
File Path : c:\users\bob\appdata\local\temp\xyz1234.tmp.exe
File Size : 254464
SHA-1 : da39a3ee5e6b4b0d3255bfef95601890afd80709
PE Link Date : 2018-04-03 09:00:00 UTC
Publisher : (empty)
Product Name : (empty)
Product Version : (empty)
File Version : (empty)
Last Modified : 2026-04-19 02:14:55 UTC
Key Last Write : 2026-04-19 02:14:55 UTC
Es densa, legible como un documento único y bien adaptada a lectura humana directa. No está bien adaptada para cargar en una hoja de cálculo, hacer joins contra otros CSVs o filtrar con PowerShell.
Cuándo usar el plugin de RegRipper#
Algunas situaciones donde el plugin de RegRipper es la opción correcta:
Ya estás haciendo un sweep de RegRipper#
Si tu flujo de trabajo ya ejecuta RegRipper contra SYSTEM,
SOFTWARE, NTUSER.DAT, SAM y otros, añadir -p amcache
contra Amcache.hve mantiene todo en el mismo formato de
reporte. La continuidad vale más que la ergonomía del CSV para
algunos analistas.
Quieres una narrativa de documento único#
Para reportes de triage donde quieres leer Amcache en lugar de consultarlo — un resumen ejecutivo, un entregable para un stakeholder, una narrativa forense — la salida de texto de RegRipper ya está en el formato correcto.
Multi-plataforma sin .NET#
rip.pl es un script Perl. Si tienes Perl pero ningún runtime
de .NET (poco común en un host de analista Windows, más común en
una VM forense Linux), RegRipper funciona sin configuración de
dependencias.
Ingestión de timeline vía amcache_tln#
Si tu framework de timeline (Plaso, log2timeline, un procesador
TLN hecho en casa) ingiere datos en formato TLN, la variante
amcache_tln encaja en el pipeline directamente. AmcacheParser
no emite TLN; tendrías que convertir.
Cuándo usar AmcacheParser en su lugar#
Para la mayor parte del DFIR moderno, AmcacheParser es el mejor default:
Necesitas CSV estructurado#
El schema CSV por categoría es dramáticamente más fácil de cargar en una hoja de cálculo, Timeline Explorer, un SIEM o PowerShell para filtrar y unir. La salida de texto de RegRipper requiere regex o conversión manual para llegar al mismo lugar.
Necesitas la cobertura completa moderna Inventory*#
El plugin amcache de RegRipper cubre las claves principales
pero no se garantiza que se actualice tan rápido como
AmcacheParser cuando nuevos builds de Windows cambian el schema.
La herramienta de Zimmerman se actualiza rápido porque la
mantiene un practicante DFIR activo.
Necesitas manejo de journals de transacciones#
AmcacheParser maneja los journals de transacciones del registro
(Amcache.hve.LOG1, .LOG2) correctamente fuera de la caja
cuando apuntas al hive y mantienes los logs en el mismo
directorio. RegRipper también los maneja en versiones recientes,
pero el soporte es más nuevo y más variable a través de
versiones de plugin. Si no recoges los logs (ver
Dónde está Amcache.hve en disco),
ninguna herramienta puede recuperar los datos faltantes.
Quieres CSVs de pivote de hash para hunts cross-host#
Los CSVs por host de AmcacheParser son la entrada estándar a los
patrones de pivote de hash / ProgramId descritos en
Movimiento lateral y pivote ProgramId de Amcache.
Los pivotes funcionan también contra la salida de RegRipper —
pero tendrías que script-ear el parsing.
Usar ambos#
Las dos herramientas no son mutuamente excluyentes. Un patrón común:
- Ejecuta AmcacheParser para CSV estructurado — alimenta a Timeline Explorer, tu SIEM y pivotes cross-host.
- Ejecuta el plugin
amcachede RegRipper para el bloque narrativo de texto de cualquier entrada específica de interés — copia/pega en tus notas de caso, adjunta a tu reporte.
Ambos leen el mismo hive y producen resultados consistentes. Usar ambos rara vez es confuso y a menudo es el equilibrio correcto de "datos estructurados" + "narrativa legible por humanos".
Otros plugins de RegRipper que vale la pena conocer para trabajo con Amcache#
La fortaleza de RegRipper es su biblioteca de plugins para el
resto del registro. Algunos vecinos de amcache que importan
para una investigación completa de host Windows:
| Plugin | Qué parsea |
|---|---|
appcompatcache |
ShimCache. Ver Amcache vs ShimCache. |
userassist |
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist — programas lanzados por GUI. |
runmru |
Entradas más recientes del cuadro de diálogo "Ejecutar". |
usbstor |
HKLM\SYSTEM\...\Enum\USBSTOR — historia de almacenamiento masivo USB. |
setupapi |
setupapi.dev.log — timeline de instalación de driver. |
services |
Servicios de Windows desde SYSTEM. |
Si estás usando AmcacheParser para Amcache, puede que aún quieras RegRipper para estos artefactos adyacentes.
La alternativa en el navegador para triage#
Si quieres una mirada rápida a un hive sin instalar ni RegRipper ni AmcacheParser, el parser en navegador de este sitio corre en WebAssembly y muestra cada categoría y campo. Está diseñado para triage y educación, no como reemplazo de Zimmerman o RegRipper en investigaciones completas.
Ver también#
- Referencia completa de Amcache — el artefacto al completo.
- Guía completa de AmcacheParser — la herramienta de Zimmerman.
- Plugins Amcache de Volatility — extraer el hive de memoria antes de parsear.
- Amcache vs ShimCache — el plugin
appcompatcachede RegRipper parsea ShimCache. - Columnas de salida de AmcacheParser explicadas — qué contiene el CSV de AmcacheParser, para comparación con los bloques de texto de RegRipper.
Artículos relacionados
- Volatility y Amcache: extraer el hive de imágenes de memoria
Una guía práctica para recuperar Amcache de una imagen de memoria de Windows usando Volatility — cuándo la recuperación del lado de memoria es la única opción, qué plugins usar y cómo entregar a AmcacheParser.
- Las columnas de salida de AmcacheParser explicadas: cada campo CSV decodificado
Referencia campo por campo para la salida CSV de AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile y cualquier otra columna, con los pivotes que importan en DFIR.
- Guía de descarga de AmcacheParser: fuentes oficiales, mirrors y verificación
Todas las formas de descargar AmcacheParser de Eric Zimmerman — Get-ZimmermanTools, descarga directa, KAPE, Velociraptor — con verificación por suma de control y patrones de instalación en redes aisladas.
- AmcacheParser: la guía completa de la herramienta de Eric Zimmerman
Una guía definitiva sobre AmcacheParser — qué hace, cómo instalar y ejecutar la CLI de Eric Zimmerman, cómo leer su salida CSV y cuándo elegir la alternativa en el navegador.