Qu'est-ce qu'Amcache.hve ? (glossaire)

Amcache.hve est la ruche de registre dans laquelle Windows écrit chaque PE inventoriée par le Compatibility Appraiser. SHA-1 des 31 premiers MiB, chemin complet, éditeur, link date et l'horodatage de dernière écriture de la clé. Un fichier par hôte. C'est tout.

C'est l'un des quatre artefacts que toute personne en IR Windows apprend en premier, aux côtés de Prefetch, Shimcache et du journal d'événements Sécurité. C'est aussi celui qui survit le plus fiablement au binaire qu'il enregistre, et c'est pour ça qu'il atterrit dans presque tous les rapports.

L'essentiel#

  • Chemin : C:\Windows\AppCompat\Programs\Amcache.hve
  • Journaux de transactions : Amcache.hve.LOG1, Amcache.hve.LOG2. Prenez-les. Les deux. À chaque fois.
  • Format : ruche de registre standard (regf). Les mêmes parseurs qui lisent SYSTEM lisent ça.
  • Auteur : la tâche planifiée du Compatibility Appraiser.
  • Cadence : environ quotidienne sur Windows 10/11, plus lente sur Server, hebdomadaire ou plus sur Server Core durci.
  • Rétention : longue. Plusieurs années sur les stations qui tournent depuis un moment.
  • Couverture : fichiers PE (EXE, DLL), pilotes, périphériques, applications installées.

Pourquoi c'est important#

La ruche survit aux binaires qu'elle enregistre. Un attaquant qui efface un outil du disque laisse le chemin, le hash, l'éditeur et le temps d'inventaire posés dans la ruche, souvent des mois. Le plus gros coup de chance forensique que Microsoft ait jamais donné aux défenseurs.

Pour la référence longue, voir la Référence Amcache complète. Pour l'emplacement du fichier et comment le récupérer, voir Où se trouve Amcache.hve sur le disque. Pour l'intérieur de la ruche, voir Structure du registre Amcache.

Termes liés#

Articles liés

Retour à tous les articles