¿Cuál es la ruta del archivo de Amcache?

C:\Windows\AppCompat\Programs\Amcache.hve en cada versión soportada de Windows desde Windows 8 en adelante. Los journals de transacciones acompañantes son Amcache.hve.LOG1 y Amcache.hve.LOG2 en el mismo directorio.

¿Puedo ver Amcache en regedit?

No por defecto. Amcache es su propio hive, no cargado bajo HKLM en todo momento. Puedes cargarlo manualmente vía regedit: Archivo > Cargar Hive, apunta a C:\Windows\AppCompat\Programs\Amcache.hve y elige un nombre de montaje. Pero en un host en vivo el archivo está mantenido abierto por el appraiser, así que necesitarás copiarlo primero.

¿Cuál es la clave de primer nivel dentro de Amcache?

Root. Todo está bajo Root: Root\InventoryApplicationFile (la clave principal), Root\InventoryApplication, Root\InventoryDriverBinary, Root\InventoryDeviceContainer, Root\InventoryDevicePnp, Root\InventoryApplicationShortcut, más las legadas Root\Programs y Root\File de Windows más antiguo.

¿Dónde vivía Amcache antes de Windows 8?

No existía. Windows 7 / Server 2008 R2 usaba RecentFileCache.bcf, un archivo binario plano en C:\Windows\AppCompat\Programs\RecentFileCache.bcf — no un hive del registro.

¿Cómo listo las claves en Amcache sin parsear todo?

Usa AmcacheParser con --debug para ver las claves que recorre, o usa reg.exe después de cargar el hive: reg load HKLM\TempAmcache 'C:\copy of Amcache.hve' && reg query HKLM\TempAmcache\Root. No olvides hacer reg unload después.

¿Dónde está la clave del registro de Amcache?

Amcache es su propio archivo de hive independiente, no una clave bajo uno de los hives HKLM estándar. El archivo vive en:

C:\Windows\AppCompat\Programs\Amcache.hve
C:\Windows\AppCompat\Programs\Amcache.hve.LOG1
C:\Windows\AppCompat\Programs\Amcache.hve.LOG2

Cuando el Compatibility Appraiser carga el hive (o cuando lo cargas manualmente con reg.exe), el contenido se monta bajo HKLM\Amcache con estas subclaves notables:

Root\
├── InventoryApplicationFile     ← la clave estrella
├── InventoryApplication
├── InventoryDriverBinary
├── InventoryDeviceContainer
├── InventoryDevicePnp
├── InventoryApplicationShortcut
├── Programs   (legado)
└── File       (legado)

Para el tour completo clave por clave, ver Estructura del registro Amcache.

Por qué no está en HKLM por defecto#

Amcache es uno de varios hives "lazy-mounted" — Windows lo carga bajo demanda cuando el appraiser lo necesita, y lo descarga después. Este es el mismo patrón que los hives NTUSER.DAT por usuario: solo se montan cuando el usuario está logueado.

En un sistema corriendo puedes ver si Amcache está actualmente cargado con:

Get-ChildItem HKLM:\ | Where-Object Name -like '*Amcache*'

Si el appraiser está a mitad de corrida, puedes ver HKLM\Amcache listado. La mayor parte del tiempo el hive está descargado y el archivo está cerrado.

Cargar manualmente el hive#

Para inspeccionar el hive en regedit o reg.exe:

# 1. Copia el hive en vivo a un directorio de trabajo (el archivo está bloqueado mientras está cargado)
Copy-Item 'C:\Windows\AppCompat\Programs\Amcache.hve' 'C:\Triage\' -Force
 
# 2. Carga la copia en un punto de montaje temporal
reg load HKLM\TempAmcache 'C:\Triage\Amcache.hve'
 
# 3. Consulta
reg query HKLM\TempAmcache\Root
reg query HKLM\TempAmcache\Root\InventoryApplicationFile
 
# 4. Descarga siempre cuando termines
reg unload HKLM\TempAmcache

Para la mayoría de propósitos DFIR, usa AmcacheParser en su lugar — parsea el hive directamente sin necesidad de cargarlo, produce CSVs estructurados y maneja los journals de transacciones automáticamente.

Relacionado#

Dónde está Amcache.hve en disco — la referencia de rutas por versión + flujo de trabajo de recolección.
Estructura del registro Amcache — cada clave dentro del hive.
Guía completa de AmcacheParser — el parser canónico.

¿Dónde está la clave del registro de Amcache?

Por qué no está en HKLM por defecto#

Cargar manualmente el hive#

Relacionado#

Artículos relacionados