AmcacheParser est-il gratuit ?

Oui. AmcacheParser est gratuit pour tout usage — personnel, commercial, interne, engagements de conseil, travail gouvernemental, formation. Il est publié sous la licence MIT par Eric Zimmerman sur GitHub et à ericzimmerman.github.io.

Il n'y a pas de niveaux, pas d'écrans de relance, pas de télémétrie, pas de compte, pas de limites.

Qui le publie#

Eric Zimmerman est un ancien agent spécial du FBI et actuellement Senior Director chez Kroll. Il publie des outils DFIR open-source depuis plus d'une décennie. AmcacheParser est l'un d'une douzaine d'outils qu'il maintient — les autres incluent :

  • MFTECmd — parser $MFT, $LogFile, $J, $Boot, $SDS
  • RECmd — processeur de registre en ligne de commande et batch
  • RBCmd — parser de la Corbeille
  • PECmd — parser Prefetch
  • EvtxECmd — parser du journal d'événements Windows
  • JLECmd — parser de Jump Lists
  • LECmd — parser LNK
  • SBECmd — CLI Shellbag Explorer
  • AppCompatCacheParser — parser ShimCache
  • SrumECmd — parser SRUM

Tous gratuits, tous sous licence MIT.

Alternatives commerciales#

Plusieurs suites DFIR commerciales parsent également Amcache dans le cadre de packages plus larges :

  • Magnet AXIOM — la plateforme DFIR intégrée de Magnet Forensics.
  • X-Ways Forensics — suite DFIR allemande.
  • EnCase — la plateforme forensique classique d'OpenText.
  • FTK — le toolkit forensique d'Exterro.

Ceux-ci sont payants (souvent $$$$) mais regroupent des dizaines de parsers d'artefacts, des fonctionnalités de gestion de preuves et des certifications. Pour Amcache spécifiquement — c'est-à-dire si vous avez juste besoin de parser la ruche — AmcacheParser est l'option gratuite canonique et produit une sortie que la plupart des plateformes payantes peuvent ingérer.

Y a-t-il un piège ?#

Fonctionnellement : non. Pratiquement, deux limitations à connaître :

  1. Pas de support vendeur. AmcacheParser est open source. Si vous rencontrez un bug, le bon chemin est une issue GitHub, pas un ticket de support. Eric et la communauté sont réactifs mais il n'y a pas de SLA.
  2. Windows-first. L'outil s'exécute en multi-plateforme via .NET, mais la documentation et l'écosystème supposent Windows. Les utilisateurs Linux / macOS suivent le guide Linux/macOS.

Qu'en est-il de ce site ?#

Le parser basé sur navigateur à amcacheparser.com est également gratuit et s'exécute entièrement côté client. C'est une réimplémentation indépendante du chemin de lecture Amcache en Rust + WebAssembly, conçue pour le triage et l'éducation. Il n'est pas affilié à Eric ou Kroll. Le fichier que vous déposez sur la page est parsé dans votre navigateur et n'est jamais envoyé à un serveur.

Pour les investigations complètes sur un poste d'analyste Windows, utilisez AmcacheParser.exe d'Eric. Pour le triage ou les scénarios sans installation, utilisez la version basée sur navigateur. Les deux sont gratuits.

Voir aussi#

Tagsqaamcacheparserlicence

Articles liés

  • Qui a créé AmcacheParser ?

    Eric Zimmerman, ancien agent spécial du FBI et actuel Senior Director chez Kroll, a créé AmcacheParser dans le cadre de sa suite d'outils DFIR open-source.

  • Pourquoi mon Amcache.hve est-il vide ?

    Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.

  • Où se trouve la clé de registre Amcache ?

    Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.

  • Que contient Amcache.hve ?

    Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.

Retour à tous les articles