Artículos con la etiqueta «dfir»
- Qué te dice realmente la Amcache en una investigación DFIR
Una mirada de profesional a la hive Amcache.hve: qué prueba realmente cada entrada, dónde te mienten los timestamps, y los errores que se repiten en los informes de incidente.
2026-05-27
- Los timestamps de Amcache, decodificados
Cada campo FILETIME y DateTime-como-string por todas las claves de Amcache, qué sigue cada uno de verdad, y cómo Win7, Win10 y Win11 se contradicen sobre el mismo artefacto.
2026-05-27
- SHA-1 en la Amcache: pivotando del disco al threat intel
Cómo el campo FileId de Amcache se convierte en el pivote más útil en una investigación DFIR, por qué los hashes ganan a las rutas y el flujo para pivotar por hash a escala.
2026-05-27
- Investigar un incidente real con Amcache: walkthrough
Una investigación de ransomware ficticia pero realista, recorrida por la evidencia de Amcache de principio a fin: el pivote SHA-1, la corroboración y los límites de la hive.
2026-05-27
- El formato binario de Amcache.hve, en la práctica
Un recorrido por la estructura en disco de Amcache.hve: el layout de la hive regf, las subclaves que importan en DFIR y las herramientas que las leen sin mentirte.
2026-05-27
- Adquirir Amcache.hve en sistemas vivos y apagados
Cómo recoger Amcache.hve y sus logs de transacción correctamente en hosts vivos y apagados, las trampas del bloqueo de archivo y lo que de verdad hacen los buenos scripts de recolección IR.
2026-05-27
- Volatility y Amcache: extraer el hive de imágenes de memoria
Una guía práctica para recuperar Amcache de una imagen de memoria de Windows usando Volatility — cuándo la recuperación del lado de memoria es la única opción, qué plugins usar y cómo entregar a AmcacheParser.
2026-05-24
- Plugin amcache de RegRipper: qué hace y cuándo usarlo
Una guía práctica del plugin amcache de RegRipper — qué parsea, en qué se diferencia su salida de texto del CSV de AmcacheParser y cuándo recurrir a él en lugar de (o junto con) la herramienta de Zimmerman.
2026-05-24
- ¿Qué es el triage DFIR? (glosario)
El triage es la pasada rápida que decide si un host merece una investigación completa. Amcache es uno de los artefactos más baratos y productivos del kit de triage.
2026-05-24
- Las columnas de salida de AmcacheParser explicadas: cada campo CSV decodificado
Referencia campo por campo para la salida CSV de AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile y cualquier otra columna, con los pivotes que importan en DFIR.
2026-05-24
- Guía de descarga de AmcacheParser: fuentes oficiales, mirrors y verificación
Todas las formas de descargar AmcacheParser de Eric Zimmerman — Get-ZimmermanTools, descarga directa, KAPE, Velociraptor — con verificación por suma de control y patrones de instalación en redes aisladas.
2026-05-24
- AmcacheParser: la guía completa de la herramienta de Eric Zimmerman
Una guía definitiva sobre AmcacheParser — qué hace, cómo instalar y ejecutar la CLI de Eric Zimmerman, cómo leer su salida CSV y cuándo elegir la alternativa en el navegador.
2026-05-24
- Cheatsheet CLI de AmcacheParser: cada opción, con ejemplos prácticos
Referencia práctica de línea de comandos para AmcacheParser de Eric Zimmerman — cada opción explicada, con patrones KAPE, Velociraptor y batch de PowerShell listos para copiar y pegar.
2026-05-24
- Amcache en Windows Server: cadencia, cobertura y peculiaridades
Amcache en Windows Server 2016, 2019, 2022 y 2025 — diferencias de cadencia del appraiser respecto a desktop, qué cambia para instalaciones Core o hardenizadas, y los patrones que importan para DFIR del lado del servidor.
2026-05-24
- Amcache en Windows 11 y Windows 10: schema, cadencia y peculiaridades
Cómo se comporta Amcache.hve en Windows 10 y Windows 11 modernos — el schema Inventory* introducido en 1709, la cadencia del appraiser y las peculiaridades específicas de build que vale la pena conocer.
2026-05-24
- Amcache vs SRUM: presencia vs uso de recursos en ventana larga
SRUM rastrea el uso de recursos por aplicación durante 30+ días; Amcache inventaría cada binario presente en disco. Aquí cómo se complementan en una timeline DFIR de Windows.
2026-05-24
- Amcache vs ShimCache: cuándo gana cada artefacto
ShimCache y Amcache ambos registran binarios que tocaron un host Windows. Son mecanismos diferentes con límites diferentes — aquí cuándo usar cada uno y qué prueba realmente su solapamiento.
2026-05-24
- Amcache vs Prefetch: qué prueba realmente cada uno
Amcache registra presencia; Prefetch registra ejecución. Una guía práctica de cuándo usar cada uno, en qué se solapan y cómo combinarlos en una timeline DFIR.
2026-05-24
- Historia de USB y dispositivos en Amcache: InventoryDeviceContainer e InventoryDevicePnp
Las claves InventoryDeviceContainer e InventoryDevicePnp de Amcache dan a los analistas una respuesta limpia a '¿qué hardware se ha conectado alguna vez a este host?'. Una guía práctica para investigaciones de USB y periféricos.
2026-05-24
- Marcas de tiempo de Amcache explicadas: KeyLastWriteTimestamp vs LinkDate vs el resto
Una referencia para cada marca de tiempo que Amcache expone — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — qué significa cada una y sobre cuál pivotar.
2026-05-24
- Estructura del registro Amcache: cada clave explicada
Un recorrido clave por clave del hive del registro Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, las claves legacy Programs y File, y qué significa cada valor notable.
2026-05-24
- Amcache ProgramId explicado: la identidad de aplicación de 44 caracteres
Una referencia para el ProgramId de Amcache — cómo Windows construye el hash de identidad de 44 caracteres, cómo usarlo para unir registros de archivo a aplicaciones y cómo pivotarlo entre hosts en un hunt.
2026-05-24
- Comparativa de analizadores Amcache: AmcacheParser CLI, herramienta navegador, Volatility, RegRipper
Comparativa lado a lado de las cuatro maneras de analizar un hive Windows Amcache.hve en 2026 — AmcacheParser CLI de Eric Zimmerman, herramienta navegador, Volatility 3 y RegRipper.
2026-05-24
- Caza de malware comodín con Amcache
Un playbook práctico de triage Amcache-first para malware comodín en endpoints Windows — los filtros que sacan a la luz herramientas del atacante, los pivotes que confirman ejecución y las consultas cross-host que delimitan el incidente.
2026-05-24
- Movimiento lateral y Amcache: pivote por ProgramId entre hosts
Un único ProgramId sospechoso en un host se convierte en una consulta que puedes ejecutar contra el Amcache de cualquier otro host. El playbook completo de delimitación del movimiento lateral con consultas concretas.
2026-05-24
- La referencia forense definitiva de Amcache.hve: cada clave, cada valor, cada marca de tiempo
Una referencia campo a campo y esquema a esquema de Amcache.hve en Windows — qué registra cada subclave Inventory*, qué significa realmente cada marca de tiempo, cómo evolucionó el esquema desde Windows 7 hasta Windows 11 y qué puede y no puede demostrar Amcache en DFIR.
2026-05-24
- Dónde está Amcache.hve en disco (y cómo recogerlo)
Ruta: C:\Windows\AppCompat\Programs\Amcache.hve más los archivos .LOG. Siempre los tres. Y la forma correcta de recogerlo en un host vivo y desde shadow copies.
2026-05-24
- Recuperar evidencia de binarios borrados desde Amcache
Amcache sobrevive a los binarios que registra. La ruta, el SHA-1, el publisher, el link date y el momento del inventario persisten meses después de que el atacante limpie el archivo. El flujo práctico.
2026-05-24
- Amcache: la referencia forense completa de la hive Windows .hve
Amcache es la hive donde el Compatibility Appraiser anota cada PE en disco, con SHA-1, ruta completa, publisher, link date y un tiempo de escritura de clave. La referencia, del formato al uso investigativo.
2026-05-24
- FileId de Amcache explicado: el formato de hash SHA-1 que almacena Windows
FileId es '0000' más el SHA-1 de los primeros 31 MiB. Quita el prefijo o tus lookups a VirusTotal devuelven silenciosamente nada. La referencia completa, con sus trampas.
2026-05-24