¿Quién creó AmcacheParser?
AmcacheParser fue creado por Eric Zimmerman, un antiguo agente especial del FBI y actual Senior Director en Kroll. Lo mantiene como parte de su suite gratuita de herramientas DFIR open-source publicada en ericzimmerman.github.io.
Eric ha estado publicando herramientas forenses durante más de una década. Su suite — usualmente referida como las "herramientas Zimmerman" o "Get-ZimmermanTools" — es el toolset DFIR de Windows de facto estándar.
Trasfondo de Eric Zimmerman#
- Antiguo agente especial del FBI especializado en forense digital.
- Actualmente Senior Director en Kroll, donde lidera el tooling para la práctica de respuesta a incidentes de la firma.
- Instructor de SANS para FOR498 (Battlefield Forensics) y contribuidor a FOR500 (Windows Forensic Analysis). El currículo SANS DFIR hace uso extensivo de su toolset.
- Autor de muchas contribuciones a la comunidad DFIR incluyendo posts de blog, charlas en conferencias y el mantenimiento de EZTools.
La suite de herramientas Zimmerman#
AmcacheParser es una de alrededor de una docena de herramientas que Eric mantiene:
| Herramienta | Parsea |
|---|---|
| AmcacheParser | Amcache.hve |
| MFTECmd | $MFT, $LogFile, $J, $Boot, $SDS |
| RECmd | Cualquier hive del registro (procesador batch) |
| RBCmd | Papelera de Reciclaje (archivos $I*) |
| PECmd | Windows Prefetch |
| EvtxECmd | Windows Event Logs (.evtx) |
| JLECmd | Jump Lists |
| LECmd | Archivos LNK de Windows |
| SBECmd | Shellbags |
| AppCompatCacheParser | ShimCache |
| SrumECmd | SRUM (SRUDB.dat) |
Todas bajo licencia MIT. Todas gratuitas para uso comercial. Todas producen CSV estructurado que carga limpiamente en el GUI acompañante de Eric, Timeline Explorer.
Cómo instalar la suite#
Usa el instalador oficial Get-ZimmermanTools.ps1:
mkdir C:\Tools\ZTools
cd C:\Tools\ZTools
Invoke-WebRequest `
-Uri 'https://raw.githubusercontent.com/EricZimmerman/Get-ZimmermanTools/master/Get-ZimmermanTools.ps1' `
-OutFile Get-ZimmermanTools.ps1
.\Get-ZimmermanTools.ps1 -Dest C:\Tools\ZTools -NetVersion 6Esto descarga la suite entera, incluyendo AmcacheParser, en
C:\Tools\ZTools. Re-ejecuta periódicamente para mantenerte al
día. Para patrones de verificación y configuración de mirrors,
ver la
guía de descarga de AmcacheParser.
¿Este sitio (amcacheparser.com) es de Eric?#
No. El parser basado en navegador alojado en amcacheparser.com es un proyecto independiente. Es una reimplementación in-browser del camino de lectura de Amcache en Rust + WebAssembly, diseñada para triage y educación. No está afiliado con Eric o Kroll.
Acreditamos a Eric a lo largo de la documentación porque su
trabajo en el AmcacheParser.exe original y su publicación del
conocimiento del schema de Amcache son lo que hizo posible todo
esto.
Relacionado#
- Guía completa de AmcacheParser — la referencia canónica de la herramienta.
- ¿Es AmcacheParser gratuito?
- Guía de descarga de AmcacheParser
Artículos relacionados
- ¿Es AmcacheParser gratuito?
Sí. AmcacheParser es gratuito para cualquier uso incluyendo trabajo DFIR comercial, publicado bajo una licencia permisiva por Eric Zimmerman.
- ¿Por qué mi Amcache.hve está vacío?
Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.
- ¿Dónde está la clave del registro de Amcache?
Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.
- ¿Qué contiene Amcache.hve?
Amcache.hve contiene registros de inventario para cada binario PE, driver y dispositivo conectado que el Compatibility Appraiser de Windows ha visto — con hashes SHA-1, rutas, publishers y marcas de tiempo.