Quel analyseur Amcache utiliser ?

Pour un triage ponctuel sur une ruche unique sans installation : l'outil navigateur. Pour le traitement par lot, l'intégration KAPE / Velociraptor, ou un pipeline forensique documenté : AmcacheParser CLI d'Eric Zimmerman. Pour les workflows de forensique mémoire où Amcache cohabite avec d'autres plugins registre : Volatility 3. Pour les équipes déjà standardisées sur RegRipper : le plugin amcache.pl.

L'analyseur Amcache navigateur est-il aussi précis qu'AmcacheParser CLI ?

Même format de ruche, mêmes champs analysés. L'analyseur navigateur implémente le lecteur de ruche en Rust compilé en WebAssembly et décode le même schéma Inventory* que gère AmcacheParser. Les différences sont dans l'UX — le CLI est scriptable et écrit un CSV par catégorie, l'outil navigateur offre une table interactive et des indices de risque — pas dans les valeurs analysées elles-mêmes.

Peut-on utiliser AmcacheParser sous Linux ou macOS ?

Oui. AmcacheParser est en .NET — installez le runtime .NET et lancez `dotnet AmcacheParser.dll` sous Linux ou macOS, ou utilisez l'analyseur navigateur qui fonctionne dans n'importe quel navigateur moderne quel que soit l'OS hôte.

Le plugin Amcache de Volatility nécessite-t-il une capture mémoire ?

Non. Le plugin windows.registry.amcache fonctionne contre n'importe quelle ruche registre, qu'elle soit extraite de la mémoire ou récupérée sur disque. Il est surtout utile quand Amcache fait déjà partie d'une investigation Volatility menée sur la mémoire.

Quel analyseur est le standard de facto en DFIR ?

AmcacheParser d'Eric Zimmerman. C'est l'outil invoqué par KAPE et Velociraptor, celui cité dans la documentation SANS, et la référence pour la sémantique des champs. L'outil navigateur, le plugin Volatility et le plugin RegRipper se calibrent tous sur la sortie d'AmcacheParser.

Comparatif analyseurs Amcache : AmcacheParser, outil navigateur, Volatility, RegRipper

TL;DR — la règle de décision à quatre outils. Triage ponctuel sans installation : outil navigateur. Pipeline batch / KAPE / Velociraptor : AmcacheParser CLI d'Eric Zimmerman. Workflow forensique mémoire avec d'autres plugins registre : Volatility 3. Déjà standardisé sur un framework de plugins registre : amcache.pl de RegRipper.

Quatre outils matures analysent Amcache.hve en 2026. Ils produisent une sortie qui se recoupe à partir de la même ruche — la question est de savoir lequel s'adapte à votre workflow, pas lequel est « correct ».

Cette page les compare sur les dimensions qui comptent vraiment pour les analystes : empreinte d'installation, plateformes supportées, format de sortie, capacité de batch, et où chaque outil l'emporte.

Pour l'artefact lui-même (ce qu'est Amcache, ce qu'il enregistre, la sémantique des champs), voir la référence complète Amcache. Pour un approfondissement sur chaque outil, voir les guides liés ci-dessous.

Comparatif en un coup d'œil#

Outil	Installation	Plateforme	Sortie	Batch / scripting	Interface	Idéal pour
AmcacheParser d'Eric Zimmerman	Runtime .NET	Windows natif, Linux/macOS via `dotnet`	Un CSV par catégorie Inventory*	Excellent	❌ (CLI uniquement)	Pipelines KAPE / Velociraptor, hôtes en batch
amcacheparser.com (navigateur)	Aucune	N'importe quel navigateur moderne (WebAssembly)	Table interactive, CSV, JSON	Une ruche à la fois	✅	Triage ponctuel, environnements sans installation, formation
Volatility 3 (`windows.registry.amcache`)	Volatility 3 + Python 3	Multiplateforme	Texte / JSON via volshell	Scriptable	❌	Workflows forensique mémoire, combiné à d'autres plugins registre
RegRipper (`amcache.pl`)	Perl + RegRipper	Multiplateforme	Rapport texte	Scriptable	❌	Équipes déjà standardisées sur RegRipper

AmcacheParser d'Eric Zimmerman (CLI)#

Le standard de facto. Une application console .NET qui lit Amcache.hve et écrit sept CSV — un par catégorie Inventory* (AssociatedFileEntries, UnassociatedFileEntries, ProgramEntries, ShortcutEntries, DriverBinaries, DevicePnps, DeviceContainers) plus les schémas legacy Programs / File quand ils sont présents.

Pourquoi il domine

KAPE et Velociraptor l'invoquent directement. Si votre pipeline de collecte utilise l'un des deux, AmcacheParser est déjà en jeu.
La sémantique des champs est la référence documentée. Toutes les autres sorties d'analyseurs sont calibrées sur les colonnes CSV d'AmcacheParser.
Scriptable. Un exécutable, une entrée, une sortie CSV déterministe → trivialement piloté depuis PowerShell, bash ou un job d'ingestion SIEM.

Là où il coince

Nécessite le runtime .NET. Natif sous Windows ; sous Linux/macOS il faut dotnet installé. Pas un problème dans une VM forensique, occasionnellement gênant sur un poste de triage.
CLI uniquement. Pas de filtrage interactif, pas d'indices de risque, pas de visualisation. Vous ingérez les CSV dans ce que vous utilisez déjà (Timeline Explorer, Excel, Splunk).

Couverture complète : Guide complet AmcacheParser · Cheatsheet CLI · Colonnes de sortie expliquées · Guide de téléchargement.

amcacheparser.com (navigateur, WebAssembly)#

L'outil de ce site. L'analyseur de ruche est écrit en Rust, compilé en WebAssembly, et s'exécute entièrement dans l'onglet du navigateur. Le fichier déposé sur la page est lu en mémoire par JavaScript et passé au module WebAssembly — aucun envoi n'a lieu.

Pourquoi les analystes s'en saisissent

Zéro installation. N'importe quel navigateur moderne fonctionne — Chrome, Firefox, Safari, Edge — sur n'importe quel OS, y compris les environnements air-gappés après un miroir unique du site statique.
Triage visuel. Catégories par onglets, indices de risque par ligne (PE non signé, chemins AppData/Temp, drivers non signés), recherche en ligne, filtre « unassociated only », export CSV par catégorie.
Confidentialité par construction. Comme rien ne quitte l'appareil, l'outil est sûr pour des ruches soumises à des politiques de manipulation interdisant l'envoi.

Là où il coince

Une ruche par session. Traitement par lot de 200 hôtes ? Utilisez le CLI.
Pas d'intégration KAPE / Velociraptor. L'outil navigateur est pour l'étape de triage humain, pas pour l'étape de collecte.

Volatility 3 (`windows.registry.amcache`)#

Un plugin d'analyse registre dans Volatility 3. Fonctionne contre une capture mémoire (où la ruche est reconstruite à partir des pages registre en mémoire) ou contre une ruche registre offline sur disque.

Pourquoi l'utiliser

Cohabite avec d'autres plugins registre. Si vous lancez déjà Volatility pour une investigation mémoire, ajouter l'analyse Amcache est à un vol.py -f memory.raw windows.registry.amcache près.
Multiplateforme. Pur Python, sans dépendance .NET.

Là où il coince

Moins de détail qu'AmcacheParser. Le plugin remonte les champs cœur mais ne reproduit pas la décomposition complète par catégorie d'AmcacheParser.
Nécessite Volatility installé. Pas un outil de premier passage pour qui veut juste examiner une ruche.

Voir Plugins Volatility pour l'analyse Amcache pour la référence complète.

RegRipper (`amcache.pl`)#

RegRipper est un framework d'analyse registre en Perl avec un système de plugins par ruche. Le plugin amcache.pl lit la ruche et produit un rapport texte.

Pourquoi l'utiliser

Écosystème de plugins. Si votre équipe utilise déjà RegRipper pour l'analyse SYSTEM/SOFTWARE/NTUSER, ajouter le plugin Amcache garde tout dans le même workflow.
Bien connu en DFIR. RegRipper existe depuis 2006 — son format de sortie est familier à toute une génération d'analystes.

Là où il coince

Sortie en texte brut. Moins amical pour l'ingestion SIEM que le CSV.
Moins activement développé qu'AmcacheParser. La couverture des champs peut accuser un retard sur les derniers changements de schéma Windows.

Voir Référence du plugin Amcache RegRipper pour les détails du plugin.

Règles de décision#

La réponse honnête à « quel analyseur dois-je utiliser ? » est tous, dans des contextes différents :

Investigation sur un hôte unique, question ponctuelle, sans installation possible → analyseur navigateur.
Engagement multi-hôtes, collecte KAPE / Velociraptor → AmcacheParser CLI d'Eric Zimmerman alimentant Timeline Explorer ou votre SIEM.
Workflow forensique mémoire, ruche reconstruite depuis la RAM → plugin windows.registry.amcache de Volatility 3.
Déjà standardisé sur RegRipper pour les autres ruches registre → plugin amcache.pl de RegRipper.

Pour la plupart des équipes DFIR, le setup pratique est AmcacheParser EZ dans le pipeline de collecte + analyseur navigateur pour l'étape de triage humain — le CLI gère le batch et la provenance, le navigateur gère le moment « que signifie vraiment cette entrée ? ».

Voir aussi#

Référence complète Amcache — l'artefact lui-même, chaque champ décodé.
Amcache vs ShimCache, Amcache vs Prefetch, Amcache vs SRUM — quand Amcache est et n'est pas le bon artefact.
Cheatsheet CLI AmcacheParser — chaque flag avec des exemples concrets.

Comparatif analyseurs Amcache : AmcacheParser, outil navigateur, Volatility, RegRipper

Comparatif en un coup d'œil#

AmcacheParser d'Eric Zimmerman (CLI)#

amcacheparser.com (navigateur, WebAssembly)#

Volatility 3 (windows.registry.amcache)#

RegRipper (amcache.pl)#

Règles de décision#

Voir aussi#

Articles liés

Volatility 3 (`windows.registry.amcache`)#

RegRipper (`amcache.pl`)#