Amcache.hve est-il un fichier de log ?

Non. Amcache.hve est une ruche du registre Windows — le même format binaire que SYSTEM, SOFTWARE, SAM et NTUSER.DAT. C'est une arborescence structurée de clés/valeurs, pas un log plat.

Qu'est-ce qui remplit Amcache.hve ?

Le Microsoft Compatibility Appraiser, une tâche planifiée située à \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser qui s'exécute environ quotidiennement sur les postes Windows 10 et 11.

Amcache.hve prouve-t-il qu'un binaire s'est exécuté ?

Non. Amcache enregistre la présence — le fait que l'appraiser a vu le fichier sur disque. Pour prouver l'exécution, associez-le à Prefetch (le signal le plus fort) ou aux événements de création de processus (Security 4688 / Sysmon 1).

Jusqu'où Amcache.hve remonte-t-il dans le temps ?

Sur un hôte Windows de longue durée, Amcache conserve régulièrement des entrées pendant des mois ou des années. La ruche grossit à mesure que de nouveaux fichiers sont inventoriés et purge rarement les anciennes entrées tant que le binaire sous-jacent ou son identité est toujours reconnu.

Qu'est-ce qu'Amcache.hve ? (glossaire)

Q: Où se trouve Amcache.hve ?

C:\Windows\AppCompat\Programs\Amcache.hve, avec les journaux de transactions associés Amcache.hve.LOG1 et Amcache.hve.LOG2 dans le même répertoire.

Amcache.hve est une ruche du registre Windows qui enregistre chaque binaire PE que le Microsoft Compatibility Appraiser a inventorié sur l'hôte. Chaque entrée d'inventaire inclut le chemin complet du fichier, un hash SHA-1 des ~31 premiers Mio, la date de link PE, l'éditeur, la version et un horodatage indiquant quand l'appraiser a enregistré l'entrée.

C'est l'un des quatre artefacts fondamentaux du DFIR Windows — aux côtés de Prefetch, ShimCache et du journal d'événements Security — et la meilleure source unique de preuves post-suppression des binaires ayant été présents sur un hôte.

En un coup d'œil#

Chemin : C:\Windows\AppCompat\Programs\Amcache.hve
Fichiers associés : Amcache.hve.LOG1, Amcache.hve.LOG2 (journaux de transactions — à toujours collecter avec la ruche)
Format : ruche du registre Windows standard (identique à SYSTEM, SOFTWARE)
Rempli par : la tâche planifiée Compatibility Appraiser
Cadence de mise à jour : environ quotidienne sur les postes Windows 10 / 11
Rétention : mois à années sur les hôtes de longue durée
Enregistre : fichiers PE (EXE, DLL), pilotes, périphériques, applications

Pourquoi les analystes s'y intéressent#

Amcache survit aux binaires qu'il enregistre. Un wiper peut supprimer un fichier du disque ; l'instantané d'inventaire — incluant le hash du fichier, son chemin et ses métadonnées — persiste typiquement dans la ruche longtemps après. Cela fait d'Amcache l'artefact Windows le plus fiable pour répondre à la question « ce binaire a-t-il déjà été présent sur cet hôte ? » lorsque le binaire lui-même a disparu.

Pour la référence d'artefact plus large, voir la référence complète Amcache ; pour le chemin du fichier et le workflow de collecte, voir Où se trouve Amcache.hve sur le disque ; pour la structure du registre à l'intérieur de la ruche, voir Structure du registre Amcache.

Termes apparentés#

Compatibility Appraiser — la tâche planifiée qui remplit Amcache.
InventoryApplicationFile — la clé de registre principale à l'intérieur d'Amcache.
FileId — l'identifiant de contenu basé sur SHA-1 que porte chaque entrée.
ShimCache et Prefetch — artefacts voisins dans la pile de preuves d'exécution Windows.

Pour explorer un fichier Amcache.hve dans votre navigateur sans rien installer, déposez-le sur la page d'accueil du parser.

Qu'est-ce qu'Amcache.hve ? (glossaire)

En un coup d'œil#

Pourquoi les analystes s'y intéressent#

Termes apparentés#

Articles liés