Entender Amcache para análisis forense de Windows

Amcache.hve es un hive del registro de Windows que almacena metadatos sobre programas que han estado presentes o se han ejecutado en un sistema. Para el análisis forense digital es una de las fuentes de artefactos de ejecución más ricas.

Qué hace esta herramienta#

Este analizador compila un lector de hive en Rust (nt-hive) a WebAssembly. Tu archivo Amcache.hve se lee en memoria y se analiza localmente — nunca se sube a ningún servidor.

Categorías analizadas#

  • InventoryApplicationFile — metadatos por archivo
  • InventoryApplication — aplicaciones instaladas
  • InventoryDriverBinary — binarios de controladores
  • InventoryDeviceContainer — dispositivos conectados

Suelta un hive en la página de inicio para explorarlo y exportarlo a JSON.

Etiquetasforensewindowsamcache

Artículos relacionados

  • ¿Por qué mi Amcache.hve está vacío?

    Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.

  • ¿Dónde está la clave del registro de Amcache?

    Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.

  • ¿Qué contiene Amcache.hve?

    Amcache.hve contiene registros de inventario para cada binario PE, driver y dispositivo conectado que el Compatibility Appraiser de Windows ha visto — con hashes SHA-1, rutas, publishers y marcas de tiempo.

  • Volatility y Amcache: extraer el hive de imágenes de memoria

    Una guía práctica para recuperar Amcache de una imagen de memoria de Windows usando Volatility — cuándo la recuperación del lado de memoria es la única opción, qué plugins usar y cómo entregar a AmcacheParser.

Volver a todos los artículos