Articles avec le tag « amcache »

• Pourquoi mon Amcache.hve est-il vide ?

  Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.

  2026-05-24

• Où se trouve la clé de registre Amcache ?

  Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.

  2026-05-24

• Que contient Amcache.hve ?

  Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.

  2026-05-24

• Volatility et Amcache : extraire la ruche depuis des images mémoire

  Un guide pratique pour récupérer Amcache depuis une image mémoire Windows en utilisant Volatility — quand la récupération côté mémoire est la seule option, quels plugins utiliser, et comment passer le relais à AmcacheParser.

  2026-05-24

• Plugin amcache de RegRipper : ce qu'il fait et quand l'utiliser

  Un guide pratique sur le plugin amcache de RegRipper — ce qu'il analyse, comment sa sortie texte diffère du CSV d'AmcacheParser, et quand l'utiliser à la place (ou en complément) de l'outil Zimmerman.

  2026-05-24

• Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?

  Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.

  2026-05-24

• Amcache.hve est-il un fichier de log ?

  Non. Amcache.hve est une ruche du registre Windows — une arborescence structurée clé-valeur dans le même format binaire que SYSTEM et NTUSER.DAT — pas un log plat.

  2026-05-24

• Comment lire Amcache.hve sous Linux ou macOS ?

  Trois options : dotnet AmcacheParser.dll avec le runtime .NET, le parser basé sur navigateur de ce site (sans installation), ou tout outil basé sur libhivex. Aucun ne nécessite Windows.

  2026-05-24

• À quelle fréquence Amcache est-il mis à jour ?

  Le Compatibility Appraiser met à jour Amcache.hve environ quotidiennement sur les postes Windows 10/11, tous les 2-5 jours sur les serveurs, et hebdomadairement ou plus sur Server Core.

  2026-05-24

• Qu'est-ce que le ProgramId Amcache ? (glossaire)

  ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Le même ProgramId sur différents hôtes signifie la même installation d'application.

  2026-05-24

• Qu'est-ce que LinkDate dans Amcache ? (glossaire)

  LinkDate est le TimeDateStamp de l'en-tête PE qu'Amcache enregistre — quand le binaire a été compilé ou linké, pas quand il est apparu sur l'hôte.

  2026-05-24

• Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)

  KeyLastWriteTimestamp est l'heure de dernière écriture au niveau registre d'une entrée Amcache — ce qui se rapproche le plus, dans Amcache, de « quand l'appraiser a enregistré ce fichier ».

  2026-05-24

• Qu'est-ce que Root\InventoryApplicationFile ? (glossaire)

  InventoryApplicationFile est la clé de registre principale d'Amcache — une sous-clé par binaire PE inventorié par l'appraiser, avec chemin, SHA-1, éditeur, date de link et horodatages.

  2026-05-24

• Qu'est-ce que le FileId Amcache ? (glossaire)

  FileId est l'identifiant de 41 caractères qu'Amcache stocke pour chaque fichier — '0000' + le SHA-1 hex des 31 premiers Mio du fichier.

  2026-05-24

• Qu'est-ce que le Compatibility Appraiser ? (glossaire)

  Le Microsoft Compatibility Appraiser est la tâche planifiée Windows qui inventorie les logiciels installés et écrit les enregistrements dans Amcache.hve.

  2026-05-24

• Qu'est-ce qu'Amcache.hve ? (glossaire)

  Amcache.hve est la ruche du registre Windows qui enregistre chaque binaire PE que le Compatibility Appraiser a inventorié sur l'hôte, avec hash, chemin et heure d'inventaire.

  2026-05-24

• Amcache enregistre-t-il les DLL ?

  Oui — à partir de Windows 10 build 1709, Amcache enregistre les DLL aux côtés des EXE dans InventoryApplicationFile. Les ruches antérieures à 1709 peuvent ne pas le faire.

  2026-05-24

• Amcache peut-il être effacé par des attaquants ?

  Oui — un attaquant avec des droits admin peut éditer ou supprimer Amcache.hve, mais le nettoyage est détectable : les Volume Shadow Copies, les journaux de transactions et le propre log de l'appraiser préservent généralement l'état antérieur.

  2026-05-24

• Les colonnes de sortie d'AmcacheParser expliquées : chaque champ CSV décodé

  Référence champ par champ pour la sortie CSV d'AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile et toutes les autres colonnes, avec les pivots qui comptent en DFIR.

  2026-05-24

• Guide de téléchargement d'AmcacheParser : sources officielles, miroirs et vérification

  Tous les moyens de télécharger AmcacheParser d'Eric Zimmerman — Get-ZimmermanTools, téléchargement direct, KAPE, Velociraptor — avec vérification par somme de contrôle et schémas d'installation en environnement isolé.

  2026-05-24

• AmcacheParser : le guide complet de l'outil d'Eric Zimmerman

  Un guide définitif sur AmcacheParser — ce qu'il fait, comment installer et exécuter la CLI d'Eric Zimmerman, comment lire sa sortie CSV, et quand préférer l'alternative dans le navigateur.

  2026-05-24

• Cheatsheet CLI AmcacheParser : chaque option, avec des exemples concrets

  Référence ligne de commande pratique pour AmcacheParser d'Eric Zimmerman — chaque option expliquée, avec des schémas KAPE, Velociraptor et batch PowerShell prêts à coller.

  2026-05-24

• Amcache sur Windows Server : cadence, couverture et particularités

  Amcache sur Windows Server 2016, 2019, 2022 et 2025 — différences de cadence de l'appraiser par rapport au desktop, ce qui change pour les installs durcis ou Core, et les patterns qui importent pour le DFIR côté serveur.

  2026-05-24

• Amcache sur Windows 11 et Windows 10 : schéma, cadence et particularités

  Comment Amcache.hve se comporte sur Windows 10 et Windows 11 modernes — le schéma Inventory* introduit dans 1709, la cadence de l'appraiser et les particularités par build à connaître.

  2026-05-24

• Amcache vs SRUM : présence vs usage de ressources sur fenêtre longue

  SRUM suit l'usage de ressources par application sur 30 jours et plus ; Amcache inventorie chaque binaire présent sur disque. Voici comment ils se complètent dans une timeline DFIR Windows.

  2026-05-24

• Amcache vs ShimCache : quand chaque artefact gagne

  ShimCache et Amcache enregistrent tous deux les binaires ayant touché un hôte Windows. Ce sont des mécanismes différents avec des limites différentes — voici quand utiliser chacun, et ce que prouve réellement leur recoupement.

  2026-05-24

• Amcache vs Prefetch : ce que chacun prouve vraiment

  Amcache enregistre la présence ; Prefetch enregistre l'exécution. Une référence pratique pour savoir quand utiliser chacun, sur quoi ils se recoupent, et comment les combiner dans une timeline DFIR.

  2026-05-24

• Quelle est la différence entre Amcache et AppCompatCache ?

  Amcache est une ruche du registre plus riche, maintenue par l'appraiser, avec hashes et métadonnées. AppCompatCache (ShimCache) est un blob de registre plus petit, maintenu par le loader, avec chemins et horodatages uniquement.

  2026-05-24

• Historique USB et périphériques depuis Amcache : InventoryDeviceContainer et InventoryDevicePnp

  Les clés InventoryDeviceContainer et InventoryDevicePnp d'Amcache donnent aux analystes une réponse propre à « quel matériel s'est déjà connecté à cet hôte ? ». Un guide pratique pour les enquêtes USB et périphériques.

  2026-05-24

• Horodatages Amcache expliqués : KeyLastWriteTimestamp vs LinkDate vs les autres

  Une référence pour chaque horodatage exposé par Amcache — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — ce que chacun signifie, et lequel utiliser comme pivot.

  2026-05-24

• Structure du registre Amcache : chaque clé expliquée

  Un tour clé par clé de la ruche du registre Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, les clés legacy Programs et File, et ce que signifie chaque valeur notable.

  2026-05-24

• ProgramId Amcache expliqué : l'identité applicative de 44 caractères

  Une référence pour le ProgramId d'Amcache — comment Windows construit ce hash d'identité de 44 caractères, comment l'utiliser pour joindre les enregistrements de fichiers aux applications, et comment le pivoter entre hôtes dans un hunt.

  2026-05-24

• Comparatif des analyseurs Amcache : AmcacheParser CLI, outil navigateur, Volatility, RegRipper

  Comparaison côte à côte des quatre façons d'analyser une ruche Windows Amcache.hve en 2026 — AmcacheParser CLI d'Eric Zimmerman, outil navigateur, Volatility 3 et RegRipper.

  2026-05-24

• Chasser les malwares grand public avec Amcache

  Un playbook de triage Amcache-first pratique pour les malwares grand public sur les endpoints Windows — les filtres qui font ressortir le tooling attaquant, les pivots qui confirment l'exécution, et les requêtes cross-hôtes qui délimitent l'incident.

  2026-05-24

• Mouvement latéral et Amcache : pivot par ProgramId entre hôtes

  Un seul ProgramId suspect sur un hôte devient une requête que vous pouvez exécuter contre l'Amcache de chaque autre hôte. Le playbook complet de cadrage de mouvement latéral avec des requêtes concrètes.

  2026-05-24

• La référence forensique définitive d'Amcache.hve : chaque clé, chaque valeur, chaque horodatage

  Une référence champ par champ, schéma par schéma pour Amcache.hve sous Windows — ce que chaque sous-clé Inventory* enregistre, ce que chaque horodatage signifie réellement, comment le schéma a évolué de Windows 7 à Windows 11, et ce qu'Amcache peut et ne peut pas prouver en DFIR.

  2026-05-24

• Où se trouve Amcache.hve sur disque (et comment le collecter)

  Les chemins exacts d'Amcache.hve et de ses journaux de transactions sur les différentes versions de Windows, plus la bonne façon de les collecter pour l'analyse forensique avec KAPE, Velociraptor ou manuellement.

  2026-05-24

• Récupérer la preuve de binaires supprimés depuis Amcache

  Quand un attaquant supprime un binaire, Amcache préserve souvent son hash, son chemin, son éditeur et son heure d'inventaire. Un workflow pratique pour utiliser Amcache afin d'enquêter sur des artefacts effacés.

  2026-05-24

• Amcache : la référence forensique complète de la ruche Windows .hve

  Amcache est la ruche du registre Windows où l'appraiser inventorie chaque binaire PE, avec SHA-1, chemin, éditeur et horodatage. Référence complète.

  2026-05-24

• Comprendre Amcache pour l'analyse forensique Windows

  Ce qu'enregistre Amcache.hve, pourquoi c'est important, et comment cet analyseur le lit entièrement dans votre navigateur.

  2026-05-10

• FileId Amcache expliqué : le format de hash SHA-1 que Windows stocke

  Plongée dans le champ FileId d'Amcache — pourquoi il commence par 0000, pourquoi c'est un SHA-1 des 31 premiers Mio, comment l'utiliser pour des recherches VirusTotal, et les pièges qui trompent les analystes.

  2026-05-24