Artículos con la etiqueta «windows»

• ¿Por qué mi Amcache.hve está vacío?

  Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.

  2026-05-24

• ¿Dónde está la clave del registro de Amcache?

  Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.

  2026-05-24

• ¿Qué contiene Amcache.hve?

  Amcache.hve contiene registros de inventario para cada binario PE, driver y dispositivo conectado que el Compatibility Appraiser de Windows ha visto — con hashes SHA-1, rutas, publishers y marcas de tiempo.

  2026-05-24

• Volatility y Amcache: extraer el hive de imágenes de memoria

  Una guía práctica para recuperar Amcache de una imagen de memoria de Windows usando Volatility — cuándo la recuperación del lado de memoria es la única opción, qué plugins usar y cómo entregar a AmcacheParser.

  2026-05-24

• Plugin amcache de RegRipper: qué hace y cuándo usarlo

  Una guía práctica del plugin amcache de RegRipper — qué parsea, en qué se diferencia su salida de texto del CSV de AmcacheParser y cuándo recurrir a él en lugar de (o junto con) la herramienta de Zimmerman.

  2026-05-24

• ¿Cuál es la diferencia entre un archivo .pf y una entrada de Amcache?

  Los archivos .pf son registros de Windows Prefetch — prueba de que un binario se ejecutó, con marcas de tiempo de ejecución y listas de archivos cargados. Las entradas de Amcache registran presencia, con el hash SHA-1 y metadatos.

  2026-05-24

• ¿Es Amcache.hve un archivo de log?

  No. Amcache.hve es un hive del registro de Windows — un árbol estructurado de claves-valores en el mismo formato binario que SYSTEM y NTUSER.DAT — no un log plano.

  2026-05-24

• ¿Con qué frecuencia se actualiza Amcache?

  El Compatibility Appraiser actualiza Amcache.hve aproximadamente diariamente en estaciones de trabajo Windows 10/11, cada 2-5 días en servidores, y semanalmente o más en Server Core.

  2026-05-24

• ¿Qué es SRUM (SRUDB.dat)? (glosario)

  SRUM es el System Resource Usage Monitor de Windows — una base de datos ESE que registra el uso de CPU, red e I/O por aplicación en bloques horarios durante 30-60 días.

  2026-05-24

• ¿Qué es ShimCache (AppCompatCache)? (glosario)

  ShimCache es una cache mantenida por el kernel en el hive del registro SYSTEM que registra hasta 1024 binarios que el loader de Windows ha tocado. Diferente de Amcache.

  2026-05-24

• ¿Qué es Amcache ProgramId? (glosario)

  ProgramId es el hash de identidad de aplicación de 44 caracteres que Amcache asigna a cada aplicación lógica. El mismo ProgramId en hosts diferentes significa la misma instalación de aplicación.

  2026-05-24

• ¿Qué es Windows Prefetch? (glosario)

  Prefetch es la carpeta de Windows con archivos .pf que registran cada ejecución de binario, con hasta 8-10 marcas de tiempo de ejecución por binario y los archivos que cada uno cargó. La evidencia de ejecución más fuerte de Windows.

  2026-05-24

• ¿Qué es LinkDate en Amcache? (glosario)

  LinkDate es el TimeDateStamp de la cabecera PE que registra Amcache — cuándo se compiló o enlazó el binario, no cuándo apareció en el host.

  2026-05-24

• ¿Qué es KeyLastWriteTimestamp en Amcache? (glosario)

  KeyLastWriteTimestamp es el tiempo de última escritura a nivel del registro de una entrada de Amcache — lo más cercano que expone Amcache a 'cuándo el appraiser registró este archivo'.

  2026-05-24

• ¿Qué es Root\InventoryApplicationFile? (glosario)

  InventoryApplicationFile es la clave estrella del registro de Amcache — una subclave por cada binario PE inventariado por el appraiser, con ruta, SHA-1, publisher, fecha de link y marcas de tiempo.

  2026-05-24

• ¿Qué es Amcache FileId? (glosario)

  FileId es el identificador de 41 caracteres que Amcache almacena para cada archivo — '0000' + el SHA-1 hex de los primeros 31 MiB del archivo.

  2026-05-24

• ¿Qué es el Compatibility Appraiser? (glosario)

  El Microsoft Compatibility Appraiser es la tarea programada de Windows que inventaria el software instalado y escribe los registros en Amcache.hve.

  2026-05-24

• ¿Qué es BYOVD (Bring-Your-Own-Vulnerable-Driver)? (glosario)

  BYOVD es la técnica de atacante de dejar caer un driver del kernel legítimamente firmado pero explotable para ganar ejecución en modo kernel. InventoryDriverBinary de Amcache registra cada driver cargado.

  2026-05-24

• ¿Qué es Amcache.hve? (glosario)

  Amcache.hve es el hive del registro de Windows que registra cada binario PE que el Compatibility Appraiser inventarió en el host, con hash, ruta y hora de inventario.

  2026-05-24

• ¿Registra Amcache las DLLs?

  Sí — en Windows 10 build 1709 y posterior, Amcache registra DLLs junto con EXEs en InventoryApplicationFile. Los hives pre-1709 pueden no hacerlo.

  2026-05-24

• ¿Pueden los atacantes limpiar Amcache?

  Sí — un atacante con derechos de admin puede editar o borrar Amcache.hve, pero la limpieza es detectable: las Volume Shadow Copies, los journals de transacciones y el propio log del appraiser usualmente preservan el estado previo.

  2026-05-24

• Las columnas de salida de AmcacheParser explicadas: cada campo CSV decodificado

  Referencia campo por campo para la salida CSV de AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile y cualquier otra columna, con los pivotes que importan en DFIR.

  2026-05-24

• Guía de descarga de AmcacheParser: fuentes oficiales, mirrors y verificación

  Todas las formas de descargar AmcacheParser de Eric Zimmerman — Get-ZimmermanTools, descarga directa, KAPE, Velociraptor — con verificación por suma de control y patrones de instalación en redes aisladas.

  2026-05-24

• AmcacheParser: la guía completa de la herramienta de Eric Zimmerman

  Una guía definitiva sobre AmcacheParser — qué hace, cómo instalar y ejecutar la CLI de Eric Zimmerman, cómo leer su salida CSV y cuándo elegir la alternativa en el navegador.

  2026-05-24

• Cheatsheet CLI de AmcacheParser: cada opción, con ejemplos prácticos

  Referencia práctica de línea de comandos para AmcacheParser de Eric Zimmerman — cada opción explicada, con patrones KAPE, Velociraptor y batch de PowerShell listos para copiar y pegar.

  2026-05-24

• Amcache en Windows Server: cadencia, cobertura y peculiaridades

  Amcache en Windows Server 2016, 2019, 2022 y 2025 — diferencias de cadencia del appraiser respecto a desktop, qué cambia para instalaciones Core o hardenizadas, y los patrones que importan para DFIR del lado del servidor.

  2026-05-24

• Amcache en Windows 11 y Windows 10: schema, cadencia y peculiaridades

  Cómo se comporta Amcache.hve en Windows 10 y Windows 11 modernos — el schema Inventory* introducido en 1709, la cadencia del appraiser y las peculiaridades específicas de build que vale la pena conocer.

  2026-05-24

• Amcache vs SRUM: presencia vs uso de recursos en ventana larga

  SRUM rastrea el uso de recursos por aplicación durante 30+ días; Amcache inventaría cada binario presente en disco. Aquí cómo se complementan en una timeline DFIR de Windows.

  2026-05-24

• Amcache vs ShimCache: cuándo gana cada artefacto

  ShimCache y Amcache ambos registran binarios que tocaron un host Windows. Son mecanismos diferentes con límites diferentes — aquí cuándo usar cada uno y qué prueba realmente su solapamiento.

  2026-05-24

• Amcache vs Prefetch: qué prueba realmente cada uno

  Amcache registra presencia; Prefetch registra ejecución. Una guía práctica de cuándo usar cada uno, en qué se solapan y cómo combinarlos en una timeline DFIR.

  2026-05-24

• ¿Cuál es la diferencia entre Amcache y AppCompatCache?

  Amcache es un hive del registro más rico mantenido por el appraiser con hashes y metadatos. AppCompatCache (ShimCache) es un blob del registro más pequeño mantenido por el loader con rutas y marcas de tiempo solamente.

  2026-05-24

• Historia de USB y dispositivos en Amcache: InventoryDeviceContainer e InventoryDevicePnp

  Las claves InventoryDeviceContainer e InventoryDevicePnp de Amcache dan a los analistas una respuesta limpia a '¿qué hardware se ha conectado alguna vez a este host?'. Una guía práctica para investigaciones de USB y periféricos.

  2026-05-24

• Marcas de tiempo de Amcache explicadas: KeyLastWriteTimestamp vs LinkDate vs el resto

  Una referencia para cada marca de tiempo que Amcache expone — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — qué significa cada una y sobre cuál pivotar.

  2026-05-24

• Estructura del registro Amcache: cada clave explicada

  Un recorrido clave por clave del hive del registro Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, las claves legacy Programs y File, y qué significa cada valor notable.

  2026-05-24

• Amcache ProgramId explicado: la identidad de aplicación de 44 caracteres

  Una referencia para el ProgramId de Amcache — cómo Windows construye el hash de identidad de 44 caracteres, cómo usarlo para unir registros de archivo a aplicaciones y cómo pivotarlo entre hosts en un hunt.

  2026-05-24

• Comparativa de analizadores Amcache: AmcacheParser CLI, herramienta navegador, Volatility, RegRipper

  Comparativa lado a lado de las cuatro maneras de analizar un hive Windows Amcache.hve en 2026 — AmcacheParser CLI de Eric Zimmerman, herramienta navegador, Volatility 3 y RegRipper.

  2026-05-24

• Caza de malware comodín con Amcache

  Un playbook práctico de triage Amcache-first para malware comodín en endpoints Windows — los filtros que sacan a la luz herramientas del atacante, los pivotes que confirman ejecución y las consultas cross-host que delimitan el incidente.

  2026-05-24

• Movimiento lateral y Amcache: pivote por ProgramId entre hosts

  Un único ProgramId sospechoso en un host se convierte en una consulta que puedes ejecutar contra el Amcache de cualquier otro host. El playbook completo de delimitación del movimiento lateral con consultas concretas.

  2026-05-24

• La referencia forense definitiva de Amcache.hve: cada clave, cada valor, cada marca de tiempo

  Una referencia campo a campo y esquema a esquema de Amcache.hve en Windows — qué registra cada subclave Inventory*, qué significa realmente cada marca de tiempo, cómo evolucionó el esquema desde Windows 7 hasta Windows 11 y qué puede y no puede demostrar Amcache en DFIR.

  2026-05-24

• Dónde se encuentra Amcache.hve en disco (y cómo recogerlo)

  Las rutas exactas de Amcache.hve y sus journals de transacciones a través de las versiones de Windows, más la forma correcta de recogerlos para análisis forense con KAPE, Velociraptor o manualmente.

  2026-05-24

• Recuperar evidencia de binarios borrados desde Amcache

  Cuando un atacante borra un binario, Amcache a menudo preserva su hash, ruta, publisher y hora de inventario. Un flujo de trabajo práctico para usar Amcache en la investigación de artefactos borrados.

  2026-05-24

• Amcache: la referencia forense completa del hive Windows .hve

  Amcache es el hive del registro de Windows donde el appraiser inventaría cada binario PE, con SHA-1, ruta, publisher y marca de tiempo. Referencia completa.

  2026-05-24

• Entender Amcache para análisis forense de Windows

  Qué registra Amcache.hve, por qué importa y cómo este analizador lo lee completamente en tu navegador.

  2026-05-10

• Amcache FileId explicado: el formato de hash SHA-1 que almacena Windows

  Un análisis profundo del campo FileId de Amcache — por qué empieza con 0000, por qué es un SHA-1 de los primeros 31 MiB, cómo usarlo para búsquedas en VirusTotal y las trampas que confunden a los analistas.

  2026-05-24