¿Qué contiene Amcache.hve?

Amcache.hve contiene registros de inventario estructurados para cada binario PE, driver, aplicación instalada y dispositivo conectado que el Compatibility Appraiser de Windows ha visto en el host. Por registro, almacena metadatos ricos — lo más importante el hash SHA-1 (de los primeros 31 MiB), su ruta completa, su publisher y versión, y una marca de tiempo de última escritura a nivel del registro.

Las categorías de primer nivel#

En un hive moderno de Windows 10/11, Root contiene:

Clave Qué registra
InventoryApplicationFile Una subclave por cada binario PE inventariado.
InventoryApplication Una subclave por cada aplicación instalada.
InventoryDriverBinary Una subclave por cada binario de driver.
InventoryDeviceContainer Registros de dispositivos con nombre amigable.
InventoryDevicePnp Enumeración PnP por interfaz.
InventoryApplicationShortcut Accesos directos del menú Inicio / anclados.
Programs (legado) Lista más antigua de aplicaciones instaladas.
File (legado) Catálogo más antiguo por archivo.

Para el tour completo clave por clave, ver Estructura del registro Amcache.

Valores por archivo#

Para cada entrada en InventoryApplicationFile (la clave estrella), los valores notables incluyen:

  • Name, LowerCaseLongPath — nombre del archivo y ruta completa.
  • FileId"0000" + SHA-1 hex de los primeros 31 MiB.
  • Size — tamaño del archivo en bytes.
  • IsPeFile, IsOsComponent — flags booleanos.
  • Publisher, Version, BinFileVersion, ProductName, ProductVersion, FileVersionString — metadatos del PE.
  • LinkDate — PE TimeDateStamp.
  • Language — ID de idioma del recurso PE.
  • ProgramId — hash de identidad de aplicación (44 caracteres).
  • Usn — entrada del journal USN vinculada a este inventario.

Más el KeyLastWriteTimestamp a nivel del registro (los metadatos propios de última escritura de la clave), que es lo más cercano que expone Amcache a "¿cuándo registró el appraiser esto?".

Qué no contiene Amcache#

  • Historial de ejecución de procesos. Eso es Prefetch, ShimCache y Sysmon / Security 4688.
  • Actividad de red. Eso es SRUM, EDR y logs de firewall.
  • Evidencia de ejecución de scripts. Log operacional de PowerShell, AMSI, Sysmon.
  • Historial de autenticación de usuarios. Log de eventos de Seguridad (4624 / 4625 / 4648).
  • Metadatos del sistema de archivos como hora de creación. Eso es el MFT.

Amcache complementa esos artefactos; no los reemplaza.

Leyendo el hive#

  • AmcacheParser (Zimmerman) — produce CSV por categoría.
  • Plugin amcache de RegRipper — reporte de texto.
  • Parser basado en navegador de este sitio — suelta un hive en la página de inicio, sin instalación.

Para la referencia completa, ver la referencia completa de Amcache.

Etiquetasqaforensewindowsamcache

Artículos relacionados

  • ¿Por qué mi Amcache.hve está vacío?

    Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.

  • ¿Dónde está la clave del registro de Amcache?

    Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.

  • ¿Cuál es la diferencia entre un archivo .pf y una entrada de Amcache?

    Los archivos .pf son registros de Windows Prefetch — prueba de que un binario se ejecutó, con marcas de tiempo de ejecución y listas de archivos cargados. Las entradas de Amcache registran presencia, con el hash SHA-1 y metadatos.

  • ¿Es Amcache.hve un archivo de log?

    No. Amcache.hve es un hive del registro de Windows — un árbol estructurado de claves-valores en el mismo formato binario que SYSTEM y NTUSER.DAT — no un log plano.

Volver a todos los artículos