Articles avec le tag « dfir »
- Ce que l'Amcache vous dit vraiment dans une investigation DFIR
Un regard de praticien sur la ruche Amcache.hve : ce que chaque entrée prouve réellement, où les horodatages vous mentent, et les erreurs qui reviennent dans les rapports d'incident.
2026-05-27
- Les horodatages d'Amcache, décodés
Chaque champ FILETIME et DateTime-en-chaîne à travers les clés Amcache, ce que chacun suit vraiment, et comment Win7, Win10 et Win11 se contredisent sur le même artefact.
2026-05-27
- SHA-1 dans l'Amcache : pivoter du disque au threat intel
Comment le champ FileId d'Amcache devient le pivot le plus utile dans une investigation DFIR, pourquoi les hashes battent les chemins, et le workflow de hash-pivot à grande échelle.
2026-05-27
- Enquêter sur un vrai incident avec l'Amcache : walkthrough
Une investigation ransomware fictive mais réaliste, parcourue de bout en bout via la preuve Amcache : le pivot SHA-1, la corroboration et les limites de la ruche.
2026-05-27
- Le format binaire d'Amcache.hve, en pratique
Tour de la structure sur disque d'Amcache.hve : la disposition de la ruche regf, les sous-clés qui comptent en DFIR, et les outils qui les lisent sans vous mentir.
2026-05-27
- Acquérir Amcache.hve sur systèmes vivants et morts
Comment collecter correctement Amcache.hve et ses journaux de transactions sur des hôtes vivants et morts, les pièges du verrouillage de fichier et ce que font vraiment les bons scripts de collecte IR.
2026-05-27
- Volatility et Amcache : extraire la ruche depuis des images mémoire
Un guide pratique pour récupérer Amcache depuis une image mémoire Windows en utilisant Volatility — quand la récupération côté mémoire est la seule option, quels plugins utiliser, et comment passer le relais à AmcacheParser.
2026-05-24
- Plugin amcache de RegRipper : ce qu'il fait et quand l'utiliser
Un guide pratique sur le plugin amcache de RegRipper — ce qu'il analyse, comment sa sortie texte diffère du CSV d'AmcacheParser, et quand l'utiliser à la place (ou en complément) de l'outil Zimmerman.
2026-05-24
- Qu'est-ce que le triage DFIR ? (glossaire)
Le triage est la passe rapide qui décide si un hôte mérite une investigation complète. Amcache est l'un des artefacts les moins coûteux et les plus productifs du kit de triage.
2026-05-24
- Les colonnes de sortie d'AmcacheParser expliquées : chaque champ CSV décodé
Référence champ par champ pour la sortie CSV d'AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile et toutes les autres colonnes, avec les pivots qui comptent en DFIR.
2026-05-24
- Guide de téléchargement d'AmcacheParser : sources officielles, miroirs et vérification
Tous les moyens de télécharger AmcacheParser d'Eric Zimmerman — Get-ZimmermanTools, téléchargement direct, KAPE, Velociraptor — avec vérification par somme de contrôle et schémas d'installation en environnement isolé.
2026-05-24
- AmcacheParser : le guide complet de l'outil d'Eric Zimmerman
Un guide définitif sur AmcacheParser — ce qu'il fait, comment installer et exécuter la CLI d'Eric Zimmerman, comment lire sa sortie CSV, et quand préférer l'alternative dans le navigateur.
2026-05-24
- Cheatsheet CLI AmcacheParser : chaque option, avec des exemples concrets
Référence ligne de commande pratique pour AmcacheParser d'Eric Zimmerman — chaque option expliquée, avec des schémas KAPE, Velociraptor et batch PowerShell prêts à coller.
2026-05-24
- Amcache sur Windows Server : cadence, couverture et particularités
Amcache sur Windows Server 2016, 2019, 2022 et 2025 — différences de cadence de l'appraiser par rapport au desktop, ce qui change pour les installs durcis ou Core, et les patterns qui importent pour le DFIR côté serveur.
2026-05-24
- Amcache sur Windows 11 et Windows 10 : schéma, cadence et particularités
Comment Amcache.hve se comporte sur Windows 10 et Windows 11 modernes — le schéma Inventory* introduit dans 1709, la cadence de l'appraiser et les particularités par build à connaître.
2026-05-24
- Amcache vs SRUM : présence vs usage de ressources sur fenêtre longue
SRUM suit l'usage de ressources par application sur 30 jours et plus ; Amcache inventorie chaque binaire présent sur disque. Voici comment ils se complètent dans une timeline DFIR Windows.
2026-05-24
- Amcache vs ShimCache : quand chaque artefact gagne
ShimCache et Amcache enregistrent tous deux les binaires ayant touché un hôte Windows. Ce sont des mécanismes différents avec des limites différentes — voici quand utiliser chacun, et ce que prouve réellement leur recoupement.
2026-05-24
- Amcache vs Prefetch : ce que chacun prouve vraiment
Amcache enregistre la présence ; Prefetch enregistre l'exécution. Une référence pratique pour savoir quand utiliser chacun, sur quoi ils se recoupent, et comment les combiner dans une timeline DFIR.
2026-05-24
- Historique USB et périphériques depuis Amcache : InventoryDeviceContainer et InventoryDevicePnp
Les clés InventoryDeviceContainer et InventoryDevicePnp d'Amcache donnent aux analystes une réponse propre à « quel matériel s'est déjà connecté à cet hôte ? ». Un guide pratique pour les enquêtes USB et périphériques.
2026-05-24
- Horodatages Amcache expliqués : KeyLastWriteTimestamp vs LinkDate vs les autres
Une référence pour chaque horodatage exposé par Amcache — KeyLastWriteTimestamp, LinkDate, InstallDate, MsiInstallDate, LastModified — ce que chacun signifie, et lequel utiliser comme pivot.
2026-05-24
- Structure du registre Amcache : chaque clé expliquée
Un tour clé par clé de la ruche du registre Amcache.hve — Root\\InventoryApplicationFile, InventoryApplication, InventoryDriverBinary, les clés legacy Programs et File, et ce que signifie chaque valeur notable.
2026-05-24
- ProgramId Amcache expliqué : l'identité applicative de 44 caractères
Une référence pour le ProgramId d'Amcache — comment Windows construit ce hash d'identité de 44 caractères, comment l'utiliser pour joindre les enregistrements de fichiers aux applications, et comment le pivoter entre hôtes dans un hunt.
2026-05-24
- Comparatif des analyseurs Amcache : AmcacheParser CLI, outil navigateur, Volatility, RegRipper
Comparaison côte à côte des quatre façons d'analyser une ruche Windows Amcache.hve en 2026 — AmcacheParser CLI d'Eric Zimmerman, outil navigateur, Volatility 3 et RegRipper.
2026-05-24
- Chasser les malwares grand public avec Amcache
Un playbook de triage Amcache-first pratique pour les malwares grand public sur les endpoints Windows — les filtres qui font ressortir le tooling attaquant, les pivots qui confirment l'exécution, et les requêtes cross-hôtes qui délimitent l'incident.
2026-05-24
- Mouvement latéral et Amcache : pivot par ProgramId entre hôtes
Un seul ProgramId suspect sur un hôte devient une requête que vous pouvez exécuter contre l'Amcache de chaque autre hôte. Le playbook complet de cadrage de mouvement latéral avec des requêtes concrètes.
2026-05-24
- La référence forensique définitive d'Amcache.hve : chaque clé, chaque valeur, chaque horodatage
Une référence champ par champ, schéma par schéma pour Amcache.hve sous Windows — ce que chaque sous-clé Inventory* enregistre, ce que chaque horodatage signifie réellement, comment le schéma a évolué de Windows 7 à Windows 11, et ce qu'Amcache peut et ne peut pas prouver en DFIR.
2026-05-24
- Où se trouve Amcache.hve sur le disque (et comment le collecter)
Chemin : C:\Windows\AppCompat\Programs\Amcache.hve plus les fichiers .LOG. Toujours les trois. Et la bonne façon de collecter depuis un hôte vivant et depuis des clichés.
2026-05-24
- Récupérer la preuve de binaires supprimés depuis Amcache
Amcache survit aux binaires qu'elle enregistre. Chemin, SHA-1, éditeur, link date et moment d'inventaire persistent des mois après que l'attaquant a effacé le fichier. Le workflow pratique.
2026-05-24
- Amcache : la référence forensique complète de la ruche Windows .hve
Amcache est la ruche dans laquelle le Compatibility Appraiser inscrit chaque PE sur disque, avec SHA-1, chemin complet, éditeur, link date et un horodatage d'écriture de clé. La référence, du format à l'usage investigatif.
2026-05-24
- FileId Amcache expliqué : le format de hash SHA-1 que Windows stocke
FileId est '0000' plus le SHA-1 des 31 premiers MiB. Retirez le préfixe ou vos lookups VirusTotal ne renvoient silencieusement rien. La référence complète, avec les pièges.
2026-05-24