Comprendre Amcache pour l'analyse forensique Windows
Amcache.hve est une ruche du registre Windows qui stocke des métadonnées
sur les programmes présents ou exécutés sur un système. Pour l'investigation
numérique, c'est l'une des sources d'artefacts d'exécution les plus riches.
Ce que fait cet outil#
Cet analyseur compile un lecteur de ruche en Rust (nt-hive) vers WebAssembly.
Votre fichier Amcache.hve est lu en mémoire et analysé localement — il
n'est jamais envoyé à un serveur.
Catégories analysées#
InventoryApplicationFile— métadonnées par fichierInventoryApplication— applications installéesInventoryDriverBinary— binaires de pilotesInventoryDeviceContainer— périphériques connectés
Déposez une ruche sur la page d'accueil pour tout explorer et exporter en JSON.
Articles liés
- Pourquoi mon Amcache.hve est-il vide ?
Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.
- Où se trouve la clé de registre Amcache ?
Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.
- Que contient Amcache.hve ?
Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.
- Volatility et Amcache : extraire la ruche depuis des images mémoire
Un guide pratique pour récupérer Amcache depuis une image mémoire Windows en utilisant Volatility — quand la récupération côté mémoire est la seule option, quels plugins utiliser, et comment passer le relais à AmcacheParser.