Comprendre Amcache pour l'analyse forensique Windows
Amcache.hve est la ruche de registre Windows dans laquelle le Compatibility Appraiser écrit les métadonnées d'inventaire pour chaque binaire PE qu'il voit sur l'hôte. SHA-1 des 31 premiers MiB, chemin complet, éditeur, link date et un horodatage d'écriture de clé par entrée. L'un des artefacts uniques les plus riches du DFIR Windows.
C'est la ruche vers laquelle on se tourne quand on a besoin de savoir "ce binaire a-t-il déjà été sur cet hôte, et c'était quoi ?" sans avoir le binaire lui-même.
Ce que fait cet outil#
Ce parseur compile un lecteur de ruche de registre en Rust (nt-hive) en WebAssembly. Votre Amcache.hve est chargée en mémoire et parsée dans votre navigateur. Elle n'est jamais téléversée.
Ça compte quand la ruche provient d'un environnement régulé qui n'autorise pas les uploads vers des services tiers, ou quand vous voulez juste un coup d'oeil rapide sans monter toute la chaîne d'outils DFIR.
Catégories parsées#
InventoryApplicationFile: métadonnées par fichier (SHA-1FileId, chemins, version).InventoryApplication: applications installées.InventoryDriverBinary: binaires de pilote chargés.InventoryDeviceContainer: périphériques connectés.- Les clés
Inventory*restantes, plus les clés legacyFileetProgramspour les vieux builds Windows.
Déposez une ruche sur la page d'accueil pour voir chaque valeur, filtrer et exporter en JSON ou CSV.
Pour la référence longue, voir la Référence Amcache complète. Pour les comparaisons avec les artefacts voisins, voir Amcache vs Prefetch, Amcache vs Shimcache et Amcache vs SRUM.
Pour aller plus loin#
- Yogesh Khatri, Amcache.hve in Windows 8 is a goldmine for malware hunters. Le reverse engineering canonique.
- L'AmcacheParser d'Eric Zimmerman. L'outil offline de facto standard de l'industrie.
Articles liés
- Amcache.hve est-il un fichier de log ?
Non. C'est une ruche de registre au même format binaire que SYSTEM et NTUSER.DAT. Un arbre de clés typées, pas un flux append-only plat.
- À quelle fréquence Amcache est-il mis à jour ?
Environ quotidiennement sur les stations Windows 10/11. Tous les 2 à 5 jours sur les serveurs. Des semaines sur Server Core. Amcache retarde sur la réalité. Planifiez vos timelines en conséquence.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité d'application de 44 caractères qu'Amcache stocke. Stable entre hôtes pour la même installation. Attrape les recompilations et renommages que Hash rate.
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le PE TimeDateStamp. Contrôlable par l'attaquant. Utilisez-le pour le regroupement de builds, pas pour les chronologies d'hôte.