Qu'est-ce qu'Amcache.hve ? (glossaire)
Amcache.hve est la ruche de registre dans laquelle Windows écrit chaque PE inventoriée par le Compatibility Appraiser. SHA-1 des 31 premiers MiB, chemin complet, éditeur, link date et l'horodatage de dernière écriture de la clé. Un fichier par hôte. C'est tout.
C'est l'un des quatre artefacts que toute personne en IR Windows apprend en premier, aux côtés de Prefetch, Shimcache et du journal d'événements Sécurité. C'est aussi celui qui survit le plus fiablement au binaire qu'il enregistre, et c'est pour ça qu'il atterrit dans presque tous les rapports.
L'essentiel#
- Chemin :
C:\Windows\AppCompat\Programs\Amcache.hve - Journaux de transactions :
Amcache.hve.LOG1,Amcache.hve.LOG2. Prenez-les. Les deux. À chaque fois. - Format : ruche de registre standard (regf). Les mêmes parseurs qui lisent SYSTEM lisent ça.
- Auteur : la tâche planifiée du Compatibility Appraiser.
- Cadence : environ quotidienne sur Windows 10/11, plus lente sur Server, hebdomadaire ou plus sur Server Core durci.
- Rétention : longue. Plusieurs années sur les stations qui tournent depuis un moment.
- Couverture : fichiers PE (EXE, DLL), pilotes, périphériques, applications installées.
Pourquoi c'est important#
La ruche survit aux binaires qu'elle enregistre. Un attaquant qui efface un outil du disque laisse le chemin, le hash, l'éditeur et le temps d'inventaire posés dans la ruche, souvent des mois. Le plus gros coup de chance forensique que Microsoft ait jamais donné aux défenseurs.
Pour la référence longue, voir la Référence Amcache complète. Pour l'emplacement du fichier et comment le récupérer, voir Où se trouve Amcache.hve sur le disque. Pour l'intérieur de la ruche, voir Structure du registre Amcache.
Termes liés#
Articles liés
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité d'application de 44 caractères qu'Amcache stocke. Stable entre hôtes pour la même installation. Attrape les recompilations et renommages que Hash rate.
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le PE TimeDateStamp. Contrôlable par l'attaquant. Utilisez-le pour le regroupement de builds, pas pour les chronologies d'hôte.
- Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)
Le temps d'écriture registre de la clé Amcache. Ce qui se rapproche le plus de 'quand l'appraiser l'a enregistré'. Le champ que les nouveaux analystes confondent le plus souvent avec LinkDate.
- Qu'est-ce que Root\InventoryApplicationFile ? (glossaire)
La clé principale d'Amcache. Une sous-clé par PE inventorié par l'appraiser, avec hash, chemin, éditeur, date de lien et un horodatage d'écriture du registre. Là où passent 90 % du temps d'analyste.