Articles avec le tag « amcache »
- Ce que l'Amcache vous dit vraiment dans une investigation DFIR
Un regard de praticien sur la ruche Amcache.hve : ce que chaque entrée prouve réellement, où les horodatages vous mentent, et les erreurs qui reviennent dans les rapports d'incident.
2026-05-27
- Les horodatages d'Amcache, décodés
Chaque champ FILETIME et DateTime-en-chaîne à travers les clés Amcache, ce que chacun suit vraiment, et comment Win7, Win10 et Win11 se contredisent sur le même artefact.
2026-05-27
- SHA-1 dans l'Amcache : pivoter du disque au threat intel
Comment le champ FileId d'Amcache devient le pivot le plus utile dans une investigation DFIR, pourquoi les hashes battent les chemins, et le workflow de hash-pivot à grande échelle.
2026-05-27
- Enquêter sur un vrai incident avec l'Amcache : walkthrough
Une investigation ransomware fictive mais réaliste, parcourue de bout en bout via la preuve Amcache : le pivot SHA-1, la corroboration et les limites de la ruche.
2026-05-27
- Le format binaire d'Amcache.hve, en pratique
Tour de la structure sur disque d'Amcache.hve : la disposition de la ruche regf, les sous-clés qui comptent en DFIR, et les outils qui les lisent sans vous mentir.
2026-05-27
- Acquérir Amcache.hve sur systèmes vivants et morts
Comment collecter correctement Amcache.hve et ses journaux de transactions sur des hôtes vivants et morts, les pièges du verrouillage de fichier et ce que font vraiment les bons scripts de collecte IR.
2026-05-27
- Pourquoi mon Amcache.hve est-il vide ?
Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.
2026-05-24
- Où se trouve la clé de registre Amcache ?
Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.
2026-05-24
- Que contient Amcache.hve ?
Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.
2026-05-24
- Volatility et Amcache : extraire la ruche depuis des images mémoire
Un guide pratique pour récupérer Amcache depuis une image mémoire Windows en utilisant Volatility — quand la récupération côté mémoire est la seule option, quels plugins utiliser, et comment passer le relais à AmcacheParser.
2026-05-24
- Plugin amcache de RegRipper : ce qu'il fait et quand l'utiliser
Un guide pratique sur le plugin amcache de RegRipper — ce qu'il analyse, comment sa sortie texte diffère du CSV d'AmcacheParser, et quand l'utiliser à la place (ou en complément) de l'outil Zimmerman.
2026-05-24
- Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?
Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.
2026-05-24
- Amcache.hve est-il un fichier de log ?
Non. C'est une ruche de registre au même format binaire que SYSTEM et NTUSER.DAT. Un arbre de clés typées, pas un flux append-only plat.
2026-05-24
- Comment lire Amcache.hve sous Linux ou macOS ?
Trois options : dotnet AmcacheParser.dll avec le runtime .NET, le parser basé sur navigateur de ce site (sans installation), ou tout outil basé sur libhivex. Aucun ne nécessite Windows.
2026-05-24
- À quelle fréquence Amcache est-il mis à jour ?
Environ quotidiennement sur les stations Windows 10/11. Tous les 2 à 5 jours sur les serveurs. Des semaines sur Server Core. Amcache retarde sur la réalité. Planifiez vos timelines en conséquence.
2026-05-24
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité d'application de 44 caractères qu'Amcache stocke. Stable entre hôtes pour la même installation. Attrape les recompilations et renommages que Hash rate.
2026-05-24
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le PE TimeDateStamp. Contrôlable par l'attaquant. Utilisez-le pour le regroupement de builds, pas pour les chronologies d'hôte.
2026-05-24
- Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)
Le temps d'écriture registre de la clé Amcache. Ce qui se rapproche le plus de 'quand l'appraiser l'a enregistré'. Le champ que les nouveaux analystes confondent le plus souvent avec LinkDate.
2026-05-24
- Qu'est-ce que Root\InventoryApplicationFile ? (glossaire)
La clé principale d'Amcache. Une sous-clé par PE inventorié par l'appraiser, avec hash, chemin, éditeur, date de lien et un horodatage d'écriture du registre. Là où passent 90 % du temps d'analyste.
2026-05-24
- Qu'est-ce que le FileId Amcache ? (glossaire)
FileId, c'est '0000' plus le SHA-1 des 31 premiers MiB du fichier. Retirez le préfixe avant de taper VirusTotal, sinon il vous renverra rien en silence.
2026-05-24
- Qu'est-ce que le Compatibility Appraiser ? (glossaire)
La tâche planifiée qui parcourt le système de fichiers, inventorie les fichiers PE et écrit les enregistrements dans Amcache.hve. Comprenez sa cadence, sinon vous lirez mal votre timeline.
2026-05-24
- Qu'est-ce qu'Amcache.hve ? (glossaire)
Amcache.hve est la ruche Windows dans laquelle le Compatibility Appraiser inscrit chaque PE qu'il trouve, avec SHA-1, chemin complet, éditeur et horodatage d'inventaire. Survit au binaire qu'elle enregistre.
2026-05-24
- Amcache enregistre-t-il les DLL ?
Oui — à partir de Windows 10 build 1709, Amcache enregistre les DLL aux côtés des EXE dans InventoryApplicationFile. Les ruches antérieures à 1709 peuvent ne pas le faire.
2026-05-24
- Amcache peut-il être effacé par des attaquants ?
Oui — un attaquant avec des droits admin peut éditer ou supprimer Amcache.hve, mais le nettoyage est détectable : les Volume Shadow Copies, les journaux de transactions et le propre log de l'appraiser préservent généralement l'état antérieur.
2026-05-24
- Les colonnes de sortie d'AmcacheParser expliquées : chaque champ CSV décodé
Référence champ par champ pour la sortie CSV d'AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile et toutes les autres colonnes, avec les pivots qui comptent en DFIR.
2026-05-24
- Guide de téléchargement d'AmcacheParser : sources officielles, miroirs et vérification
Tous les moyens de télécharger AmcacheParser d'Eric Zimmerman — Get-ZimmermanTools, téléchargement direct, KAPE, Velociraptor — avec vérification par somme de contrôle et schémas d'installation en environnement isolé.
2026-05-24
- AmcacheParser : le guide complet de l'outil d'Eric Zimmerman
Un guide définitif sur AmcacheParser — ce qu'il fait, comment installer et exécuter la CLI d'Eric Zimmerman, comment lire sa sortie CSV, et quand préférer l'alternative dans le navigateur.
2026-05-24
- Cheatsheet CLI AmcacheParser : chaque option, avec des exemples concrets
Référence ligne de commande pratique pour AmcacheParser d'Eric Zimmerman — chaque option expliquée, avec des schémas KAPE, Velociraptor et batch PowerShell prêts à coller.
2026-05-24
- Amcache sur Windows Server : cadence, couverture et particularités
Amcache sur Windows Server 2016, 2019, 2022 et 2025 — différences de cadence de l'appraiser par rapport au desktop, ce qui change pour les installs durcis ou Core, et les patterns qui importent pour le DFIR côté serveur.
2026-05-24
- Amcache sur Windows 11 et Windows 10 : schéma, cadence et particularités
Comment Amcache.hve se comporte sur Windows 10 et Windows 11 modernes — le schéma Inventory* introduit dans 1709, la cadence de l'appraiser et les particularités par build à connaître.
2026-05-24
- Amcache vs SRUM : présence vs usage de ressources sur fenêtre longue
SRUM suit l'usage de ressources par application sur 30 jours et plus ; Amcache inventorie chaque binaire présent sur disque. Voici comment ils se complètent dans une timeline DFIR Windows.
2026-05-24
- Amcache vs ShimCache : quand chaque artefact gagne
ShimCache et Amcache enregistrent tous deux les binaires ayant touché un hôte Windows. Ce sont des mécanismes différents avec des limites différentes — voici quand utiliser chacun, et ce que prouve réellement leur recoupement.
2026-05-24
- Amcache vs Prefetch : ce que chacun prouve vraiment
Amcache enregistre la présence ; Prefetch enregistre l'exécution. Une référence pratique pour savoir quand utiliser chacun, sur quoi ils se recoupent, et comment les combiner dans une timeline DFIR.
2026-05-24
- Quelle est la différence entre Amcache et AppCompatCache ?
Amcache est une ruche du registre plus riche, maintenue par l'appraiser, avec hashes et métadonnées. AppCompatCache (ShimCache) est un blob de registre plus petit, maintenu par le loader, avec chemins et horodatages uniquement.
2026-05-24
- Historique USB et périphériques depuis Amcache : InventoryDeviceContainer et InventoryDevicePnp
Les clés InventoryDeviceContainer et InventoryDevicePnp d'Amcache donnent aux analystes une réponse propre à « quel matériel s'est déjà connecté à cet hôte ? ». Un guide pratique pour les enquêtes USB et périphériques.
2026-05-24
- Horodatages Amcache expliqués : KeyLastWriteTimestamp vs LinkDate vs les autres
Une référence pour chaque horodatage exposé par Amcache — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — ce que chacun signifie, et lequel utiliser comme pivot.
2026-05-24
- Structure du registre Amcache : chaque clé expliquée
Un tour clé par clé de la ruche du registre Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, les clés legacy Programs et File, et ce que signifie chaque valeur notable.
2026-05-24
- ProgramId Amcache expliqué : l'identité applicative de 44 caractères
Une référence pour le ProgramId d'Amcache — comment Windows construit ce hash d'identité de 44 caractères, comment l'utiliser pour joindre les enregistrements de fichiers aux applications, et comment le pivoter entre hôtes dans un hunt.
2026-05-24
- Comparatif des analyseurs Amcache : AmcacheParser CLI, outil navigateur, Volatility, RegRipper
Comparaison côte à côte des quatre façons d'analyser une ruche Windows Amcache.hve en 2026 — AmcacheParser CLI d'Eric Zimmerman, outil navigateur, Volatility 3 et RegRipper.
2026-05-24
- Chasser les malwares grand public avec Amcache
Un playbook de triage Amcache-first pratique pour les malwares grand public sur les endpoints Windows — les filtres qui font ressortir le tooling attaquant, les pivots qui confirment l'exécution, et les requêtes cross-hôtes qui délimitent l'incident.
2026-05-24
- Mouvement latéral et Amcache : pivot par ProgramId entre hôtes
Un seul ProgramId suspect sur un hôte devient une requête que vous pouvez exécuter contre l'Amcache de chaque autre hôte. Le playbook complet de cadrage de mouvement latéral avec des requêtes concrètes.
2026-05-24
- La référence forensique définitive d'Amcache.hve : chaque clé, chaque valeur, chaque horodatage
Une référence champ par champ, schéma par schéma pour Amcache.hve sous Windows — ce que chaque sous-clé Inventory* enregistre, ce que chaque horodatage signifie réellement, comment le schéma a évolué de Windows 7 à Windows 11, et ce qu'Amcache peut et ne peut pas prouver en DFIR.
2026-05-24
- Où se trouve Amcache.hve sur le disque (et comment le collecter)
Chemin : C:\Windows\AppCompat\Programs\Amcache.hve plus les fichiers .LOG. Toujours les trois. Et la bonne façon de collecter depuis un hôte vivant et depuis des clichés.
2026-05-24
- Récupérer la preuve de binaires supprimés depuis Amcache
Amcache survit aux binaires qu'elle enregistre. Chemin, SHA-1, éditeur, link date et moment d'inventaire persistent des mois après que l'attaquant a effacé le fichier. Le workflow pratique.
2026-05-24
- Amcache : la référence forensique complète de la ruche Windows .hve
Amcache est la ruche dans laquelle le Compatibility Appraiser inscrit chaque PE sur disque, avec SHA-1, chemin complet, éditeur, link date et un horodatage d'écriture de clé. La référence, du format à l'usage investigatif.
2026-05-24
- Comprendre Amcache pour l'analyse forensique Windows
Ce qu'enregistre Amcache.hve, pourquoi c'est important, et comment ce parseur la lit entièrement dans votre navigateur.
2026-05-10
- FileId Amcache expliqué : le format de hash SHA-1 que Windows stocke
FileId est '0000' plus le SHA-1 des 31 premiers MiB. Retirez le préfixe ou vos lookups VirusTotal ne renvoient silencieusement rien. La référence complète, avec les pièges.
2026-05-24