Quelles versions de Windows enregistrent les DLL dans Amcache ?

Windows 10 build 1709 et ultérieures, et toutes les versions Windows 11. Les builds antérieurs utilisent le schéma hérité qui est plus clairsemé ; certains enregistraient les DLL, d'autres non.

Les DLL en mode noyau (pilotes .sys) sont-elles enregistrées ?

Oui, mais dans une clé différente — Root\InventoryDriverBinary, pas InventoryApplicationFile. Les enregistrements de pilotes ont des champs supplémentaires comme DriverIsKernelMode, DriverSigned et DriverTimeStamp.

Amcache enregistre-t-il chaque DLL chargée par chaque processus ?

Non. Amcache enregistre les DLL que le Compatibility Appraiser a inventoriées — c'est-à-dire les DLL présentes dans les chemins analysés au moment du scan. Il ne suit pas les chargements de DLL par processus. Pour cela, utilisez Sysmon Event ID 7 (Image Loaded).

Comment distinguer les DLL des EXE dans le CSV Amcache ?

Utilisez la colonne FileExtension ou filtrez sur Name se terminant par '.dll'. Les deux sont marqués IsPeFile=True ; la distinction est dans le nom de fichier.

Puis-je pivoter sur un hash DLL avec Amcache ?

Oui — exactement comme un EXE. Prenez la colonne Hash (le SHA-1, débarrassé du préfixe '0000' de FileId) et utilisez-la pour les recherches VirusTotal ou les chasses inter-hôtes. Pour la corrélation Sysmon, joignez au champ Hashes de l'Event ID 7.

Amcache.hve enregistre-t-il les DLL ?

Oui — à partir de Windows 10 build 1709 (Fall Creators Update, octobre 2017), Root\InventoryApplicationFile d'Amcache enregistre à la fois les EXE et les DLL classifiés comme fichiers PE. Chaque entrée DLL a les mêmes champs qu'une entrée EXE : chemin complet, hash SHA-1 des 31 premiers Mio, éditeur, version, date de link, ProgramId et KeyLastWriteTimestamp. Les builds Windows 10 antérieurs à 1709 et Windows 8.1 utilisent le schéma hérité, qui est plus clairsemé et peut ne pas enregistrer les DLL de manière cohérente.

Amcache enregistre-t-il les DLL ?

Oui — à partir de Windows 10 build 1709 (octobre 2017). La clé Root\InventoryApplicationFile enregistre à la fois les EXE et les DLL que le Compatibility Appraiser classifie comme fichiers PE, avec le même schéma pour les deux : chemin complet, hash SHA-1, éditeur, version, date de link, ProgramId et KeyLastWriteTimestamp.

Les builds Windows antérieurs utilisaient le schéma hérité (Root\File et Root\Programs), qui était plus clairsemé et incohérent concernant les DLL. Pour toute investigation moderne Windows 10/11, supposez une couverture DLL.

Comment trouver les DLL dans le CSV#

Dans *_UnassociatedFileEntries.csv et *_AssociatedFileEntries.csv d'AmcacheParser :

Import-Csv .\HOST_amcache_UnassociatedFileEntries.csv |
  Where-Object { $_.Name -like '*.dll' } |
  Select-Object FullPath, Hash, KeyLastWriteTimestamp, Publisher

Ou filtrez par BinaryType — les DLL apparaissent souvent comme pe32 ou pe64 avec l'extension .dll.

Chargements de DLL par processus vs enregistrements DLL Amcache#

Ce sont des signaux très différents :

	Enregistrement DLL Amcache	Sysmon 7 (Image Loaded)
Déclenché par	Passe d'inventaire de l'appraiser	Chaque chargement de la DLL par un processus
Fréquence	~Quotidienne	Temps réel
Enregistre le contexte processus ?	Non	Oui
Enregistre l'heure de chargement ?	Heure d'inventaire uniquement	Heure de chargement par processus
Visibilité inter-processus ?	Non	Oui — par processus

Pour les investigations centrées sur quel processus a chargé quelle DLL, Sysmon Event ID 7 est le bon artefact. Pour les investigations centrées sur cette DLL était-elle présente sur cet hôte, Amcache est le bon artefact. La combinaison — joindre Hash Amcache à Hashes Sysmon 7 — vous donne le tableau complet côté DLL.

Attaques côté DLL qu'Amcache attrape#

DLL sideloading. DLL déposée par l'attaquant à côté d'un EXE légitime qui la charge. La DLL d'attaquant apparaît dans *_UnassociatedFileEntries.csv avec un chemin inhabituel et un Publisher vide.
DLL système détournées. Même FullPath apparaissant deux fois avec différentes valeurs Hash à travers deux moments KeyLastWriteTimestamp — la DLL à ce chemin a changé. Indicateur fort de remplacement de binaire.
Leurres de chargement réflectif. La DLL leurre (celle sur disque) apparaît dans Amcache. La version réellement chargée est uniquement en mémoire et n'apparaîtra pas dans Amcache — mais Sysmon Event ID 7 attrapera le chargement.

Pour le workflow d'investigation incluant les DLL complet, voir Chasser le malware commodity avec Amcache.

Ce qu'Amcache n'attrape pas#

DLL chargées uniquement depuis la mémoire. Les loaders réflectifs (Cobalt Strike, Sliver, Metasploit Meterpreter) chargent les DLL depuis des buffers, pas depuis le disque. Ces DLL peuvent ne jamais toucher un fichier que l'appraiser peut analyser.
DLL dans des chemins que l'appraiser ne scanne pas. Certains chemins personnalisés tombent hors de la portée par défaut de l'appraiser.
Contexte de chargement par processus. Amcache ne dit pas quel processus a chargé la DLL — utilisez Sysmon 7.

Voir aussi#

Structure du registre Amcache — où vivent les entrées DLL.
FileId Amcache expliqué — le format de hash de la DLL.
Chasser le malware commodity avec Amcache — le playbook de triage côté DLL.