Que contient Amcache.hve ?

Amcache.hve contient des enregistrements d'inventaire structurés pour chaque binaire PE, pilote, application installée et périphérique connecté que le Compatibility Appraiser Windows a vu sur l'hôte. Par enregistrement, il stocke des métadonnées riches — surtout le hash SHA-1 du fichier (des 31 premiers Mio), son chemin complet, son éditeur et sa version, et un horodatage de dernière écriture au niveau registre.

Les catégories de premier niveau#

Sur une ruche Windows 10/11 moderne, Root contient :

Clé Ce qu'elle enregistre
InventoryApplicationFile Une sous-clé par binaire PE inventorié.
InventoryApplication Une sous-clé par application installée.
InventoryDriverBinary Une sous-clé par binaire de pilote.
InventoryDeviceContainer Enregistrements de périphériques avec nom convivial.
InventoryDevicePnp Énumération PnP par interface.
InventoryApplicationShortcut Raccourcis du menu Démarrer / épinglés.
Programs (hérité) Ancienne liste d'applications installées.
File (hérité) Ancien catalogue par fichier.

Pour la visite complète clé par clé, voir Structure du registre Amcache.

Valeurs par fichier#

Pour chaque entrée dans InventoryApplicationFile (la clé principale), les valeurs notables incluent :

  • Name, LowerCaseLongPath — nom de fichier et chemin complet.
  • FileId"0000" + SHA-1 hex des 31 premiers Mio.
  • Size — taille du fichier en octets.
  • IsPeFile, IsOsComponent — flags booléens.
  • Publisher, Version, BinFileVersion, ProductName, ProductVersion, FileVersionString — métadonnées PE.
  • LinkDateTimeDateStamp PE.
  • Language — ID de langue de la ressource PE.
  • ProgramId — hash d'identité applicative (44 car.).
  • Usn — entrée du journal USN liée à cet inventaire.

Plus le KeyLastWriteTimestamp au niveau registre (les métadonnées propres de dernière écriture de la clé), qui est ce qui se rapproche le plus, dans Amcache, de « quand l'appraiser a-t-il enregistré ceci ? ».

Ce qu'Amcache ne contient pas#

  • Historique d'exécution de processus. C'est Prefetch, ShimCache et Sysmon / Security 4688.
  • Activité réseau. C'est SRUM, EDR et les logs de pare-feu.
  • Preuves d'exécution de scripts. Log opérationnel PowerShell, AMSI, Sysmon.
  • Historique d'authentification utilisateur. Journal d'événements Security (4624 / 4625 / 4648).
  • Métadonnées de système de fichiers comme l'heure de création. C'est la MFT.

Amcache complète ces artefacts ; il ne les remplace pas.

Lire la ruche#

  • AmcacheParser (Zimmerman) — produit un CSV par catégorie.
  • Plugin amcache de RegRipper — rapport textuel.
  • Le parser basé sur navigateur de ce site — déposez une ruche sur la page d'accueil, sans installation.

Pour la référence complète, voir la référence complète Amcache.

Tagsqaforensiquewindowsamcache

Articles liés

  • Pourquoi mon Amcache.hve est-il vide ?

    Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.

  • Où se trouve la clé de registre Amcache ?

    Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.

  • Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?

    Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.

  • Amcache.hve est-il un fichier de log ?

    Non. Amcache.hve est une ruche du registre Windows — une arborescence structurée clé-valeur dans le même format binaire que SYSTEM et NTUSER.DAT — pas un log plat.

Retour à tous les articles