Plugin amcache de RegRipper : ce qu'il fait et quand l'utiliser
RegRipper par
Harlan Carvey est le plus ancien des deux analyseurs de registre
largement utilisés en DFIR — le RECmd de la suite Zimmerman est le
plus récent. L'architecture en plugins de RegRipper supporte Amcache
depuis des années via le plugin amcache et ses variantes
(amcache_tln pour une sortie timeline).
Si vous utilisez déjà RegRipper pour le reste de votre travail sur
le registre, le plugin amcache est le bon outil pour une analyse
interactive en rapport texte d'Amcache.hve. Si vous avez besoin
de CSV structuré pour des outils en aval, AmcacheParser.exe est le
meilleur choix.
Cette page couvre ce que fait le plugin amcache de RegRipper, à
quoi ressemble sa sortie, quand l'utiliser, et comment il se compare
à AmcacheParser.
Pour la référence plus large sur l'artefact, voir la référence complète Amcache ; pour AmcacheParser spécifiquement, voir le guide complet d'AmcacheParser.
Ce que fait le plugin#
Le plugin amcache ouvre Amcache.hve, parcourt les mêmes clés que
parcourt AmcacheParser (Root\InventoryApplicationFile, le legacy
Root\Programs, et ainsi de suite, selon la variante du plugin),
décode les valeurs typées, et écrit un rapport en texte brut sur
la sortie standard.
Invocation typique :
# Linux / WSL / macOS with Perl
rip.pl -r /path/to/Amcache.hve -p amcache > amcache_report.txt
# Windows
rip.exe -r C:\Triage\Amcache.hve -p amcache > amcache_report.txtLe rapport est organisé par clé et contient, pour chaque entrée, un bloc lisible par humain avec le chemin de fichier, le hash, l'éditeur, la version, les horodatages, et ainsi de suite. Il n'y a pas de CSV par ligne ; l'unité de sortie est le bloc texte formaté.
Variantes#
Quelques plugins associés existent dans le dépôt RegRipper :
| Plugin | Sortie |
|---|---|
amcache |
Rapport texte standard par clé. |
amcache_tln |
Sortie au format TLN (timeline) adaptée à l'ingestion dans des frameworks TLN. |
appcompatcache |
Analyseur ShimCache (artefact différent — voir Amcache vs ShimCache). |
Utilisez celui qui correspond à votre outillage aval.
À quoi ressemble la sortie#
Un bloc de sortie représentatif du plugin amcache (paraphrasé,
mise en forme approximative) :
File Reference : 0xABCD123456789ABC
File Path : c:\users\bob\appdata\local\temp\xyz1234.tmp.exe
File Size : 254464
SHA-1 : da39a3ee5e6b4b0d3255bfef95601890afd80709
PE Link Date : 2018-04-03 09:00:00 UTC
Publisher : (empty)
Product Name : (empty)
Product Version : (empty)
File Version : (empty)
Last Modified : 2026-04-19 02:14:55 UTC
Key Last Write : 2026-04-19 02:14:55 UTC
C'est dense, lisible comme un seul document, et bien adapté à la lecture humaine directe. Ce n'est pas bien adapté au chargement dans un tableur, à la jointure avec d'autres CSVs, ou au filtrage avec PowerShell.
Quand utiliser le plugin RegRipper#
Quelques situations où le plugin RegRipper est le bon choix :
Vous faites déjà un balayage RegRipper#
Si votre workflow exécute déjà RegRipper sur SYSTEM, SOFTWARE,
NTUSER.DAT, SAM et autres, ajouter -p amcache contre
Amcache.hve garde tout dans le même format de rapport. La
continuité vaut plus que l'ergonomie CSV pour certains analystes.
Vous voulez une narration en document unique#
Pour les rapports de triage où vous voulez lire Amcache plutôt que de le requêter — un résumé exécutif, un livrable pour une partie prenante, une narration forensique — la sortie texte de RegRipper est déjà dans le bon format.
Cross-plateforme sans .NET#
rip.pl est un script Perl. Si vous avez Perl mais pas de runtime
.NET (peu courant sur un hôte analyste Windows, plus courant sur une
VM forensique Linux), RegRipper fonctionne sans setup de
dépendance.
Ingestion timeline via amcache_tln#
Si votre framework de timeline (Plaso, log2timeline, un processeur
TLN maison) ingère des données au format TLN, la variante
amcache_tln s'intègre directement au pipeline. AmcacheParser
n'émet pas de TLN ; vous devriez convertir.
Quand utiliser AmcacheParser à la place#
Pour la majorité du DFIR moderne, AmcacheParser est le meilleur défaut :
Vous avez besoin de CSV structuré#
Le schéma CSV par catégorie est nettement plus simple à charger dans un tableur, Timeline Explorer, un SIEM, ou PowerShell pour filtrer et joindre. La sortie texte de RegRipper nécessite regex ou conversion manuelle pour arriver au même endroit.
Vous avez besoin de la couverture complète moderne Inventory*#
Le plugin amcache de RegRipper couvre les clés majeures mais
n'est pas garanti d'être mis à jour aussi rapidement
qu'AmcacheParser quand de nouveaux builds Windows décalent le
schéma. L'outil Zimmerman est mis à jour rapidement car il est
maintenu par un praticien DFIR actif.
Vous avez besoin de la gestion des journaux de transactions#
AmcacheParser gère correctement les journaux de transactions du
registre (Amcache.hve.LOG1, .LOG2) out of the box quand vous
pointez sur la ruche et gardez les journaux dans le même
répertoire. RegRipper les gère aussi sur les versions récentes,
mais le support est plus récent et plus variable entre versions de
plugins. Si vous ne collectez pas les journaux
(voir Où se trouve Amcache.hve sur disque),
aucun outil ne peut récupérer les données manquantes.
Vous voulez des CSVs de pivot par hash pour des hunts cross-hôtes#
Les CSVs par-hôte d'AmcacheParser sont l'entrée standard des
patterns de pivot par hash / ProgramId décrits dans
Mouvement latéral et pivot avec le ProgramId Amcache.
Les pivots fonctionnent aussi contre la sortie RegRipper — mais
vous devriez scripter l'analyse.
Utiliser les deux#
Les deux outils ne s'excluent pas mutuellement. Un pattern courant :
- Exécuter AmcacheParser pour le CSV structuré — alimenter Timeline Explorer, votre SIEM et les pivots cross-hôtes.
- Exécuter le plugin
amcachede RegRipper pour le bloc de narration texte pour toute entrée d'intérêt spécifique — copier/coller dans vos notes de cas, attacher à votre rapport.
Les deux lisent la même ruche et produisent des résultats cohérents. Utiliser les deux est rarement confusant et souvent le bon équilibre entre « données structurées » et « narration lisible par humain ».
Autres plugins RegRipper à connaître pour le travail Amcache#
La force de RegRipper est sa bibliothèque de plugins pour le
reste du registre. Quelques voisins d'amcache qui comptent pour
une enquête complète d'hôte Windows :
| Plugin | Ce qu'il analyse |
|---|---|
appcompatcache |
ShimCache. Voir Amcache vs ShimCache. |
userassist |
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist — programmes lancés via GUI. |
runmru |
Entrées de la boîte de dialogue « Exécuter » les plus récemment utilisées. |
usbstor |
HKLM\SYSTEM\...\Enum\USBSTOR — historique des stockages de masse USB. |
setupapi |
setupapi.dev.log — timeline d'installation de pilote. |
services |
Services Windows depuis SYSTEM. |
Si vous utilisez AmcacheParser pour Amcache, vous pouvez quand même vouloir RegRipper pour ces artefacts adjacents.
L'alternative dans le navigateur pour le triage#
Si vous voulez un coup d'œil rapide sur une ruche sans installer ni RegRipper ni AmcacheParser, l'analyseur dans le navigateur de ce site s'exécute en WebAssembly et montre chaque catégorie et champ. Il est conçu pour le triage et la formation, pas comme un remplacement de Zimmerman ou RegRipper dans des enquêtes complètes.
Voir aussi#
- Référence complète Amcache — l'artefact en intégralité.
- Guide complet d'AmcacheParser — l'outil Zimmerman.
- Plugins Amcache Volatility — extraire la ruche de la mémoire avant analyse.
- Amcache vs ShimCache — le plugin
appcompatcachede RegRipper analyse ShimCache. - Les colonnes de sortie d'AmcacheParser expliquées — ce que contient le CSV d'AmcacheParser, pour comparaison avec les blocs texte de RegRipper.
Articles liés
- Volatility et Amcache : extraire la ruche depuis des images mémoire
Un guide pratique pour récupérer Amcache depuis une image mémoire Windows en utilisant Volatility — quand la récupération côté mémoire est la seule option, quels plugins utiliser, et comment passer le relais à AmcacheParser.
- Les colonnes de sortie d'AmcacheParser expliquées : chaque champ CSV décodé
Référence champ par champ pour la sortie CSV d'AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile et toutes les autres colonnes, avec les pivots qui comptent en DFIR.
- Guide de téléchargement d'AmcacheParser : sources officielles, miroirs et vérification
Tous les moyens de télécharger AmcacheParser d'Eric Zimmerman — Get-ZimmermanTools, téléchargement direct, KAPE, Velociraptor — avec vérification par somme de contrôle et schémas d'installation en environnement isolé.
- AmcacheParser : le guide complet de l'outil d'Eric Zimmerman
Un guide définitif sur AmcacheParser — ce qu'il fait, comment installer et exécuter la CLI d'Eric Zimmerman, comment lire sa sortie CSV, et quand préférer l'alternative dans le navigateur.