Articles avec le tag « dfir »

• Volatility et Amcache : extraire la ruche depuis des images mémoire

  Un guide pratique pour récupérer Amcache depuis une image mémoire Windows en utilisant Volatility — quand la récupération côté mémoire est la seule option, quels plugins utiliser, et comment passer le relais à AmcacheParser.

  2026-05-24

• Plugin amcache de RegRipper : ce qu'il fait et quand l'utiliser

  Un guide pratique sur le plugin amcache de RegRipper — ce qu'il analyse, comment sa sortie texte diffère du CSV d'AmcacheParser, et quand l'utiliser à la place (ou en complément) de l'outil Zimmerman.

  2026-05-24

• Qu'est-ce que le triage DFIR ? (glossaire)

  Le triage DFIR est l'examen rapide en première passe d'un hôte suspecté compromis pour confirmer ou écarter une compromission en quelques minutes. Amcache est l'un des artefacts de triage les plus rapides sur Windows.

  2026-05-24

• Les colonnes de sortie d'AmcacheParser expliquées : chaque champ CSV décodé

  Référence champ par champ pour la sortie CSV d'AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile et toutes les autres colonnes, avec les pivots qui comptent en DFIR.

  2026-05-24

• Guide de téléchargement d'AmcacheParser : sources officielles, miroirs et vérification

  Tous les moyens de télécharger AmcacheParser d'Eric Zimmerman — Get-ZimmermanTools, téléchargement direct, KAPE, Velociraptor — avec vérification par somme de contrôle et schémas d'installation en environnement isolé.

  2026-05-24

• AmcacheParser : le guide complet de l'outil d'Eric Zimmerman

  Un guide définitif sur AmcacheParser — ce qu'il fait, comment installer et exécuter la CLI d'Eric Zimmerman, comment lire sa sortie CSV, et quand préférer l'alternative dans le navigateur.

  2026-05-24

• Cheatsheet CLI AmcacheParser : chaque option, avec des exemples concrets

  Référence ligne de commande pratique pour AmcacheParser d'Eric Zimmerman — chaque option expliquée, avec des schémas KAPE, Velociraptor et batch PowerShell prêts à coller.

  2026-05-24

• Amcache sur Windows Server : cadence, couverture et particularités

  Amcache sur Windows Server 2016, 2019, 2022 et 2025 — différences de cadence de l'appraiser par rapport au desktop, ce qui change pour les installs durcis ou Core, et les patterns qui importent pour le DFIR côté serveur.

  2026-05-24

• Amcache sur Windows 11 et Windows 10 : schéma, cadence et particularités

  Comment Amcache.hve se comporte sur Windows 10 et Windows 11 modernes — le schéma Inventory* introduit dans 1709, la cadence de l'appraiser et les particularités par build à connaître.

  2026-05-24

• Amcache vs SRUM : présence vs usage de ressources sur fenêtre longue

  SRUM suit l'usage de ressources par application sur 30 jours et plus ; Amcache inventorie chaque binaire présent sur disque. Voici comment ils se complètent dans une timeline DFIR Windows.

  2026-05-24

• Amcache vs ShimCache : quand chaque artefact gagne

  ShimCache et Amcache enregistrent tous deux les binaires ayant touché un hôte Windows. Ce sont des mécanismes différents avec des limites différentes — voici quand utiliser chacun, et ce que prouve réellement leur recoupement.

  2026-05-24

• Amcache vs Prefetch : ce que chacun prouve vraiment

  Amcache enregistre la présence ; Prefetch enregistre l'exécution. Une référence pratique pour savoir quand utiliser chacun, sur quoi ils se recoupent, et comment les combiner dans une timeline DFIR.

  2026-05-24

• Historique USB et périphériques depuis Amcache : InventoryDeviceContainer et InventoryDevicePnp

  Les clés InventoryDeviceContainer et InventoryDevicePnp d'Amcache donnent aux analystes une réponse propre à « quel matériel s'est déjà connecté à cet hôte ? ». Un guide pratique pour les enquêtes USB et périphériques.

  2026-05-24

• Horodatages Amcache expliqués : KeyLastWriteTimestamp vs LinkDate vs les autres

  Une référence pour chaque horodatage exposé par Amcache — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — ce que chacun signifie, et lequel utiliser comme pivot.

  2026-05-24

• Structure du registre Amcache : chaque clé expliquée

  Un tour clé par clé de la ruche du registre Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, les clés legacy Programs et File, et ce que signifie chaque valeur notable.

  2026-05-24

• ProgramId Amcache expliqué : l'identité applicative de 44 caractères

  Une référence pour le ProgramId d'Amcache — comment Windows construit ce hash d'identité de 44 caractères, comment l'utiliser pour joindre les enregistrements de fichiers aux applications, et comment le pivoter entre hôtes dans un hunt.

  2026-05-24

• Comparatif des analyseurs Amcache : AmcacheParser CLI, outil navigateur, Volatility, RegRipper

  Comparaison côte à côte des quatre façons d'analyser une ruche Windows Amcache.hve en 2026 — AmcacheParser CLI d'Eric Zimmerman, outil navigateur, Volatility 3 et RegRipper.

  2026-05-24

• Chasser les malwares grand public avec Amcache

  Un playbook de triage Amcache-first pratique pour les malwares grand public sur les endpoints Windows — les filtres qui font ressortir le tooling attaquant, les pivots qui confirment l'exécution, et les requêtes cross-hôtes qui délimitent l'incident.

  2026-05-24

• Mouvement latéral et Amcache : pivot par ProgramId entre hôtes

  Un seul ProgramId suspect sur un hôte devient une requête que vous pouvez exécuter contre l'Amcache de chaque autre hôte. Le playbook complet de cadrage de mouvement latéral avec des requêtes concrètes.

  2026-05-24

• La référence forensique définitive d'Amcache.hve : chaque clé, chaque valeur, chaque horodatage

  Une référence champ par champ, schéma par schéma pour Amcache.hve sous Windows — ce que chaque sous-clé Inventory* enregistre, ce que chaque horodatage signifie réellement, comment le schéma a évolué de Windows 7 à Windows 11, et ce qu'Amcache peut et ne peut pas prouver en DFIR.

  2026-05-24

• Où se trouve Amcache.hve sur disque (et comment le collecter)

  Les chemins exacts d'Amcache.hve et de ses journaux de transactions sur les différentes versions de Windows, plus la bonne façon de les collecter pour l'analyse forensique avec KAPE, Velociraptor ou manuellement.

  2026-05-24

• Récupérer la preuve de binaires supprimés depuis Amcache

  Quand un attaquant supprime un binaire, Amcache préserve souvent son hash, son chemin, son éditeur et son heure d'inventaire. Un workflow pratique pour utiliser Amcache afin d'enquêter sur des artefacts effacés.

  2026-05-24

• Amcache : la référence forensique complète de la ruche Windows .hve

  Amcache est la ruche du registre Windows où l'appraiser inventorie chaque binaire PE, avec SHA-1, chemin, éditeur et horodatage. Référence complète.

  2026-05-24

• FileId Amcache expliqué : le format de hash SHA-1 que Windows stocke

  Plongée dans le champ FileId d'Amcache — pourquoi il commence par 0000, pourquoi c'est un SHA-1 des 31 premiers Mio, comment l'utiliser pour des recherches VirusTotal, et les pièges qui trompent les analystes.

  2026-05-24