Amcache.hve est-il un fichier de log ?

Non. Amcache.hve est une ruche du registre Windows, pas un fichier de log.

Elle utilise le même format binaire que les ruches SYSTEM, SOFTWARE, SAM, SECURITY et NTUSER.DAT. Le fichier est une arborescence structurée de clés et de valeurs typées — ajoutées, mises à jour et occasionnellement supprimées sur place — pas un flux append-only d'événements.

Spécifiquement :

  • Un fichier de log enregistre les événements de manière séquentielle. Chaque ligne est un événement discret ; les lecteurs parsent ligne par ligne.
  • Une ruche du registre stocke une arborescence de clés (comme des dossiers) et de valeurs (typées : REG_SZ, REG_DWORD, REG_QWORD, etc.). Les lecteurs parcourent l'arborescence.

Amcache contient, par exemple, une sous-clé par binaire PE inventorié sous Root\InventoryApplicationFile. Chaque sous-clé contient 15-20 valeurs typées : nom, chemin, hash SHA-1, date de link, éditeur, version, et ainsi de suite.

Qu'en est-il de Amcache.hve.LOG1 et Amcache.hve.LOG2 ?#

Ceux-là sont des fichiers de log — mais ce sont des journaux de transactions de registre, pas des journaux d'événements. C'est le même mécanisme de log write-ahead que toute ruche du registre utilise pour bufferiser les écritures récentes avant qu'elles ne soient vidées dans le fichier de ruche principal. Ils ne sont pas lisibles par l'humain et ne sont pas utilisés pour l'audit d'événements.

Collectez toujours les trois fichiers ensemble — la ruche et les deux logs. Si vous prenez uniquement la ruche, vous pouvez manquer silencieusement les écritures les plus récentes qui sont encore dans les logs.

Pour les chemins de fichiers et le workflow de collecte, voir Où se trouve Amcache.hve sur le disque.

Comment lire Amcache.hve#

Vous avez besoin d'un parser conscient des ruches :

  • AmcacheParser.exe (Eric Zimmerman) — le parser canonique côté Windows. Produit du CSV par catégorie Inventory*. Voir le guide complet AmcacheParser.
  • Plugin amcache de RegRipper (Harlan Carvey) — sortie en rapport textuel. Voir Plugin amcache de RegRipper.
  • Le parser basé sur navigateur de ce site — Rust + WebAssembly, sans installation. Déposez la ruche sur la page d'accueil.

Pour le contexte d'artefact plus large, voir la référence complète Amcache.

Tagsqaforensiquewindowsamcache

Articles liés

  • Pourquoi mon Amcache.hve est-il vide ?

    Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.

  • Où se trouve la clé de registre Amcache ?

    Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.

  • Que contient Amcache.hve ?

    Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.

  • Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?

    Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.

Retour à tous les articles