Comprendre Amcache pour l'analyse forensique Windows

Amcache.hve est la ruche de registre Windows dans laquelle le Compatibility Appraiser écrit les métadonnées d'inventaire pour chaque binaire PE qu'il voit sur l'hôte. SHA-1 des 31 premiers MiB, chemin complet, éditeur, link date et un horodatage d'écriture de clé par entrée. L'un des artefacts uniques les plus riches du DFIR Windows.

C'est la ruche vers laquelle on se tourne quand on a besoin de savoir "ce binaire a-t-il déjà été sur cet hôte, et c'était quoi ?" sans avoir le binaire lui-même.

Ce que fait cet outil#

Ce parseur compile un lecteur de ruche de registre en Rust (nt-hive) en WebAssembly. Votre Amcache.hve est chargée en mémoire et parsée dans votre navigateur. Elle n'est jamais téléversée.

Ça compte quand la ruche provient d'un environnement régulé qui n'autorise pas les uploads vers des services tiers, ou quand vous voulez juste un coup d'oeil rapide sans monter toute la chaîne d'outils DFIR.

Catégories parsées#

  • InventoryApplicationFile : métadonnées par fichier (SHA-1 FileId, chemins, version).
  • InventoryApplication : applications installées.
  • InventoryDriverBinary : binaires de pilote chargés.
  • InventoryDeviceContainer : périphériques connectés.
  • Les clés Inventory* restantes, plus les clés legacy File et Programs pour les vieux builds Windows.

Déposez une ruche sur la page d'accueil pour voir chaque valeur, filtrer et exporter en JSON ou CSV.

Pour la référence longue, voir la Référence Amcache complète. Pour les comparaisons avec les artefacts voisins, voir Amcache vs Prefetch, Amcache vs Shimcache et Amcache vs SRUM.

Pour aller plus loin#

Articles liés

Retour à tous les articles