Artículos con la etiqueta «qa»

• ¿Por qué mi Amcache.hve está vacío?

  Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.

  2026-05-24

• ¿Quién creó AmcacheParser?

  Eric Zimmerman, un antiguo agente especial del FBI y actual Senior Director en Kroll, creó AmcacheParser como parte de su suite de herramientas DFIR open-source.

  2026-05-24

• ¿Dónde está la clave del registro de Amcache?

  Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.

  2026-05-24

• ¿Qué contiene Amcache.hve?

  Amcache.hve contiene registros de inventario para cada binario PE, driver y dispositivo conectado que el Compatibility Appraiser de Windows ha visto — con hashes SHA-1, rutas, publishers y marcas de tiempo.

  2026-05-24

• ¿Cuál es la diferencia entre un archivo .pf y una entrada de Amcache?

  Los archivos .pf son registros de Windows Prefetch — prueba de que un binario se ejecutó, con marcas de tiempo de ejecución y listas de archivos cargados. Las entradas de Amcache registran presencia, con el hash SHA-1 y metadatos.

  2026-05-24

• ¿Es AmcacheParser gratuito?

  Sí. AmcacheParser es gratuito para cualquier uso incluyendo trabajo DFIR comercial, publicado bajo una licencia permisiva por Eric Zimmerman.

  2026-05-24

• ¿Es Amcache.hve un archivo de log?

  No. Amcache.hve es un hive del registro de Windows — un árbol estructurado de claves-valores en el mismo formato binario que SYSTEM y NTUSER.DAT — no un log plano.

  2026-05-24

• ¿Cómo leo Amcache.hve en Linux o macOS?

  Tres opciones: dotnet AmcacheParser.dll con el runtime de .NET, el parser basado en navegador de este sitio (cero instalación), o cualquier herramienta basada en libhivex. Ninguna requiere Windows.

  2026-05-24

• ¿Con qué frecuencia se actualiza Amcache?

  El Compatibility Appraiser actualiza Amcache.hve aproximadamente diariamente en estaciones de trabajo Windows 10/11, cada 2-5 días en servidores, y semanalmente o más en Server Core.

  2026-05-24

• ¿Registra Amcache las DLLs?

  Sí — en Windows 10 build 1709 y posterior, Amcache registra DLLs junto con EXEs en InventoryApplicationFile. Los hives pre-1709 pueden no hacerlo.

  2026-05-24

• ¿Pueden los atacantes limpiar Amcache?

  Sí — un atacante con derechos de admin puede editar o borrar Amcache.hve, pero la limpieza es detectable: las Volume Shadow Copies, los journals de transacciones y el propio log del appraiser usualmente preservan el estado previo.

  2026-05-24

• ¿Cuál es la diferencia entre Amcache y AppCompatCache?

  Amcache es un hive del registro más rico mantenido por el appraiser con hashes y metadatos. AppCompatCache (ShimCache) es un blob del registro más pequeño mantenido por el loader con rutas y marcas de tiempo solamente.

  2026-05-24