Artículos con la etiqueta «dfir»

• Volatility y Amcache: extraer el hive de imágenes de memoria

  Una guía práctica para recuperar Amcache de una imagen de memoria de Windows usando Volatility — cuándo la recuperación del lado de memoria es la única opción, qué plugins usar y cómo entregar a AmcacheParser.

  2026-05-24

• Plugin amcache de RegRipper: qué hace y cuándo usarlo

  Una guía práctica del plugin amcache de RegRipper — qué parsea, en qué se diferencia su salida de texto del CSV de AmcacheParser y cuándo recurrir a él en lugar de (o junto con) la herramienta de Zimmerman.

  2026-05-24

• ¿Qué es el triage DFIR? (glosario)

  El triage DFIR es el examen rápido de primera pasada de un host sospechoso de estar comprometido para confirmar o descartar el compromiso en minutos. Amcache es uno de los artefactos de triage más rápidos en Windows.

  2026-05-24

• Las columnas de salida de AmcacheParser explicadas: cada campo CSV decodificado

  Referencia campo por campo para la salida CSV de AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile y cualquier otra columna, con los pivotes que importan en DFIR.

  2026-05-24

• Guía de descarga de AmcacheParser: fuentes oficiales, mirrors y verificación

  Todas las formas de descargar AmcacheParser de Eric Zimmerman — Get-ZimmermanTools, descarga directa, KAPE, Velociraptor — con verificación por suma de control y patrones de instalación en redes aisladas.

  2026-05-24

• AmcacheParser: la guía completa de la herramienta de Eric Zimmerman

  Una guía definitiva sobre AmcacheParser — qué hace, cómo instalar y ejecutar la CLI de Eric Zimmerman, cómo leer su salida CSV y cuándo elegir la alternativa en el navegador.

  2026-05-24

• Cheatsheet CLI de AmcacheParser: cada opción, con ejemplos prácticos

  Referencia práctica de línea de comandos para AmcacheParser de Eric Zimmerman — cada opción explicada, con patrones KAPE, Velociraptor y batch de PowerShell listos para copiar y pegar.

  2026-05-24

• Amcache en Windows Server: cadencia, cobertura y peculiaridades

  Amcache en Windows Server 2016, 2019, 2022 y 2025 — diferencias de cadencia del appraiser respecto a desktop, qué cambia para instalaciones Core o hardenizadas, y los patrones que importan para DFIR del lado del servidor.

  2026-05-24

• Amcache en Windows 11 y Windows 10: schema, cadencia y peculiaridades

  Cómo se comporta Amcache.hve en Windows 10 y Windows 11 modernos — el schema Inventory* introducido en 1709, la cadencia del appraiser y las peculiaridades específicas de build que vale la pena conocer.

  2026-05-24

• Amcache vs SRUM: presencia vs uso de recursos en ventana larga

  SRUM rastrea el uso de recursos por aplicación durante 30+ días; Amcache inventaría cada binario presente en disco. Aquí cómo se complementan en una timeline DFIR de Windows.

  2026-05-24

• Amcache vs ShimCache: cuándo gana cada artefacto

  ShimCache y Amcache ambos registran binarios que tocaron un host Windows. Son mecanismos diferentes con límites diferentes — aquí cuándo usar cada uno y qué prueba realmente su solapamiento.

  2026-05-24

• Amcache vs Prefetch: qué prueba realmente cada uno

  Amcache registra presencia; Prefetch registra ejecución. Una guía práctica de cuándo usar cada uno, en qué se solapan y cómo combinarlos en una timeline DFIR.

  2026-05-24

• Historia de USB y dispositivos en Amcache: InventoryDeviceContainer e InventoryDevicePnp

  Las claves InventoryDeviceContainer e InventoryDevicePnp de Amcache dan a los analistas una respuesta limpia a '¿qué hardware se ha conectado alguna vez a este host?'. Una guía práctica para investigaciones de USB y periféricos.

  2026-05-24

• Marcas de tiempo de Amcache explicadas: KeyLastWriteTimestamp vs LinkDate vs el resto

  Una referencia para cada marca de tiempo que Amcache expone — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — qué significa cada una y sobre cuál pivotar.

  2026-05-24

• Estructura del registro Amcache: cada clave explicada

  Un recorrido clave por clave del hive del registro Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, las claves legacy Programs y File, y qué significa cada valor notable.

  2026-05-24

• Amcache ProgramId explicado: la identidad de aplicación de 44 caracteres

  Una referencia para el ProgramId de Amcache — cómo Windows construye el hash de identidad de 44 caracteres, cómo usarlo para unir registros de archivo a aplicaciones y cómo pivotarlo entre hosts en un hunt.

  2026-05-24

• Comparativa de analizadores Amcache: AmcacheParser CLI, herramienta navegador, Volatility, RegRipper

  Comparativa lado a lado de las cuatro maneras de analizar un hive Windows Amcache.hve en 2026 — AmcacheParser CLI de Eric Zimmerman, herramienta navegador, Volatility 3 y RegRipper.

  2026-05-24

• Caza de malware comodín con Amcache

  Un playbook práctico de triage Amcache-first para malware comodín en endpoints Windows — los filtros que sacan a la luz herramientas del atacante, los pivotes que confirman ejecución y las consultas cross-host que delimitan el incidente.

  2026-05-24

• Movimiento lateral y Amcache: pivote por ProgramId entre hosts

  Un único ProgramId sospechoso en un host se convierte en una consulta que puedes ejecutar contra el Amcache de cualquier otro host. El playbook completo de delimitación del movimiento lateral con consultas concretas.

  2026-05-24

• La referencia forense definitiva de Amcache.hve: cada clave, cada valor, cada marca de tiempo

  Una referencia campo a campo y esquema a esquema de Amcache.hve en Windows — qué registra cada subclave Inventory*, qué significa realmente cada marca de tiempo, cómo evolucionó el esquema desde Windows 7 hasta Windows 11 y qué puede y no puede demostrar Amcache en DFIR.

  2026-05-24

• Dónde se encuentra Amcache.hve en disco (y cómo recogerlo)

  Las rutas exactas de Amcache.hve y sus journals de transacciones a través de las versiones de Windows, más la forma correcta de recogerlos para análisis forense con KAPE, Velociraptor o manualmente.

  2026-05-24

• Recuperar evidencia de binarios borrados desde Amcache

  Cuando un atacante borra un binario, Amcache a menudo preserva su hash, ruta, publisher y hora de inventario. Un flujo de trabajo práctico para usar Amcache en la investigación de artefactos borrados.

  2026-05-24

• Amcache: la referencia forense completa del hive Windows .hve

  Amcache es el hive del registro de Windows donde el appraiser inventaría cada binario PE, con SHA-1, ruta, publisher y marca de tiempo. Referencia completa.

  2026-05-24

• Amcache FileId explicado: el formato de hash SHA-1 que almacena Windows

  Un análisis profundo del campo FileId de Amcache — por qué empieza con 0000, por qué es un SHA-1 de los primeros 31 MiB, cómo usarlo para búsquedas en VirusTotal y las trampas que confunden a los analistas.

  2026-05-24