Guide de téléchargement d'AmcacheParser : sources officielles, miroirs et vérification
Voici le guide pratique pour installer AmcacheParser sur un poste analyste, que vous disposiez d'un accès Internet complet, d'un proxy restrictif ou d'un laboratoire totalement isolé. Pour le contexte sur ce que fait l'outil, voir le guide complet d'AmcacheParser.
Téléchargez toujours depuis une source vérifiable. Les outils d'Eric Zimmerman sont largement miroités et tout aussi largement typo-squattés. Les sources officielles sont
ericzimmerman.github.ioetgithub.com/EricZimmerman. Tout le reste — vérifiez avant d'exécuter.
Sources de téléchargement officielles#
1. Get-ZimmermanTools.ps1 (recommandé pour les analystes)#
Le script d'installation maintient toute la suite — AmcacheParser inclus — à jour avec une seule commande. Il ne télécharge que les builds framework-dependent .NET, ce qui garde une empreinte légère.
# Exécuter depuis un PowerShell élevé
New-Item -ItemType Directory -Path 'C:\Tools\ZTools' -Force | Out-Null
Set-Location 'C:\Tools\ZTools'
Invoke-WebRequest `
-Uri 'https://raw.githubusercontent.com/EricZimmerman/Get-ZimmermanTools/master/Get-ZimmermanTools.ps1' `
-OutFile 'Get-ZimmermanTools.ps1'
# Récupérer les builds .NET 6 (fonctionne sur Windows Server 2019+ sans config supplémentaire)
.\Get-ZimmermanTools.ps1 -Dest 'C:\Tools\ZTools' -NetVersion 6Une fois terminé, vous aurez :
C:\Tools\ZTools\
└── net6\
└── AmcacheParser\
├── AmcacheParser.exe
├── AmcacheParser.dll
└── ... (dépendances runtime .NET)
Relancez le script chaque semaine (ou via une tâche planifiée) pour
rester à jour. Le script écrit aussi un !!!RemoteFileDetails.csv à
côté avec le SHA-1 de chaque archive téléchargée — utile comme preuve
de chaîne de garde si vous publiez votre propre miroir interne.
2. Téléchargement direct depuis ericzimmerman.github.io#
Si votre politique d'égress bloque GitHub brut mais autorise
github.io, la page d'accueil
ericzimmerman.github.io liste
chaque outil avec un lien zip direct. Téléchargez, décompressez et
AmcacheParser.exe tourne sur place.
3. Bundle KAPE#
KAPE
livre AmcacheParser dans son répertoire Modules\bin après exécution
de Get-KAPEUpdate.ps1. Vous ne téléchargez pas AmcacheParser
séparément — il arrive comme dépendance du module AmcacheParser.
C'est la bonne voie si vous standardisez déjà sur KAPE pour la
collecte.
4. Artefact Velociraptor#
L'artefact Windows.Forensics.Amcache de Velociraptor télécharge
AmcacheParser à la première exécution et le met en cache sur le poste
sous Tools. Vous configurez l'URL source une fois dans les
paramètres Tools du serveur ; ensuite, chaque hunt qui en a besoin
puise dans votre cache.
Vérifier le téléchargement#
Eric ne publie pas actuellement de signatures détachées, donc le chemin pratique de vérification est :
- Pinning TLS sur
github.io/github.com— non négociable. Ne récupérez pas AmcacheParser en HTTP simple depuis un miroir aléatoire. - Enregistrez le SHA-256 de l'archive au premier téléchargement, stockez-le dans votre registre d'artefacts interne, et comparez chaque récupération suivante à la valeur stockée.
# Enregistrer l'empreinte la première fois
Get-FileHash -Algorithm SHA256 '.\AmcacheParser.zip' |
Format-List Algorithm, Hash, PathSi votre organisation opère un miroir de paquets interne (Artifactory, Nexus, un bucket Git-LFS), le schéma standard est :
- Télécharger une fois depuis Internet sur un build host propre.
- Hacher, signer avec votre clé de signature interne et téléverser vers le miroir.
- Que tous les postes analystes tirent depuis le miroir interne signé.
Ainsi, un analyste à 2 h du matin sur un P1 n'a jamais à prendre une décision de confiance sur un miroir aléatoire sous pression temporelle.
Pré-requis système#
| Composant | Pré-requis |
|---|---|
| OS (natif) | Windows 10 / 11 / Server 2016+ |
| OS (multi-plateforme) | Linux / macOS via dotnet AmcacheParser.dll |
| Runtime | .NET 6 ou .NET 9 (selon le build téléchargé) |
| RAM | ~200 Mo par analyse de ruche ; bien moins pour les ruches typiques |
| Disque | Négligeable (la sortie CSV fait normalement <50 Mo par hôte) |
Eric publie à la fois des builds framework-dependent et self-contained. Le framework-dependent fait ~2 Mo mais nécessite le runtime .NET installé. Le self-contained fait ~80 Mo et tourne sur un hôte sans .NET — choisissez celui-ci pour les clés USB de triage.
Schéma d'installation en environnement isolé#
Pour les laboratoires sans égress Internet :
- Sur un build host connecté à Internet, exécutez
Get-ZimmermanTools.ps1 -Dest .\offline -NetVersion 6. - Ajoutez l'archive AmcacheParser self-contained depuis
ericzimmerman.github.iopour que les analystes sur des hôtes sans .NET fonctionnent quand même. - Compressez le répertoire
offline\avec le manifeste!!!RemoteFileDetails.csv. Hachez le zip. - Transférez le zip à travers l'air gap sur média amovible étiqueté ou via votre diode unidirectionnelle.
- Côté isolé, vérifiez l'empreinte par rapport au manifeste avant extraction.
Répétez la procédure à cadence définie (mensuel est typique) pour que votre laboratoire isolé ne dérive pas de plus d'une release derrière le build public.
Une alternative sans installation pour le triage#
Si « installer AmcacheParser » est lui-même le bloquant — kiosk verrouillé, laptop analyste non Windows, classe d'étudiants — l'analyseur hébergé sur ce site est une réimplémentation du chemin de lecture en Rust + WebAssembly. Déposez une ruche sur la page d'accueil et vous obtenez les mêmes catégories et champs sans rien installer. Le fichier est analysé entièrement dans votre navigateur ; rien n'est téléversé.
La version navigateur couvre le triage et la formation. Pour des
investigations complètes sur un poste analyste Windows, utilisez le
AmcacheParser.exe officiel d'Eric — c'est l'implémentation
canonique et il produit le format CSV qu'attend chaque outil aval.
Voir aussi#
- Guide complet d'AmcacheParser — la référence canonique sur l'outil.
- Cheatsheet CLI AmcacheParser — chaque option, avec des exemples concrets.
- Les colonnes de sortie d'AmcacheParser expliquées — ce que signifie chaque colonne CSV.
- Comprendre Amcache pour l'analyse forensique Windows — ce que la ruche enregistre et pourquoi c'est important.
Articles liés
- Les colonnes de sortie d'AmcacheParser expliquées : chaque champ CSV décodé
Référence champ par champ pour la sortie CSV d'AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile et toutes les autres colonnes, avec les pivots qui comptent en DFIR.
- AmcacheParser : le guide complet de l'outil d'Eric Zimmerman
Un guide définitif sur AmcacheParser — ce qu'il fait, comment installer et exécuter la CLI d'Eric Zimmerman, comment lire sa sortie CSV, et quand préférer l'alternative dans le navigateur.
- Cheatsheet CLI AmcacheParser : chaque option, avec des exemples concrets
Référence ligne de commande pratique pour AmcacheParser d'Eric Zimmerman — chaque option expliquée, avec des schémas KAPE, Velociraptor et batch PowerShell prêts à coller.
- Comparatif des analyseurs Amcache : AmcacheParser CLI, outil navigateur, Volatility, RegRipper
Comparaison côte à côte des quatre façons d'analyser une ruche Windows Amcache.hve en 2026 — AmcacheParser CLI d'Eric Zimmerman, outil navigateur, Volatility 3 et RegRipper.