Quel est le chemin de fichier d'Amcache ?

C:\Windows\AppCompat\Programs\Amcache.hve sur chaque version Windows prise en charge à partir de Windows 8. Les journaux de transactions associés sont Amcache.hve.LOG1 et Amcache.hve.LOG2 dans le même répertoire.

Puis-je voir Amcache dans regedit ?

Pas par défaut. Amcache est sa propre ruche, pas chargée sous HKLM en permanence. Vous pouvez la charger manuellement via regedit : Fichier > Charger la ruche, pointez sur C:\Windows\AppCompat\Programs\Amcache.hve, et choisissez un nom de montage. Mais sur un hôte live, le fichier est maintenu ouvert par l'appraiser, donc vous devrez d'abord le copier.

Quelle est la clé de premier niveau à l'intérieur d'Amcache ?

Root. Tout est sous Root : Root\InventoryApplicationFile (la clé principale), Root\InventoryApplication, Root\InventoryDriverBinary, Root\InventoryDeviceContainer, Root\InventoryDevicePnp, Root\InventoryApplicationShortcut, plus les Root\Programs et Root\File hérités des anciens Windows.

Où Amcache vivait-il avant Windows 8 ?

Il n'existait pas. Windows 7 / Server 2008 R2 utilisait RecentFileCache.bcf, un fichier binaire plat à C:\Windows\AppCompat\Programs\RecentFileCache.bcf — pas une ruche du registre.

Comment lister les clés dans Amcache sans parser le tout ?

Utilisez AmcacheParser avec --debug pour voir les clés qu'il parcourt, ou utilisez reg.exe après avoir chargé la ruche : reg load HKLM\TempAmcache 'C:\copy of Amcache.hve' && reg query HKLM\TempAmcache\Root. N'oubliez pas reg unload après.

Où se trouve la clé de registre Amcache ?

Amcache est sa propre ruche autonome, pas une clé sous l'une des ruches HKLM standard. Le fichier vit à :

C:\Windows\AppCompat\Programs\Amcache.hve
C:\Windows\AppCompat\Programs\Amcache.hve.LOG1
C:\Windows\AppCompat\Programs\Amcache.hve.LOG2

Lorsque le Compatibility Appraiser charge la ruche (ou lorsque vous la chargez manuellement avec reg.exe), le contenu est monté sous HKLM\Amcache avec ces sous-clés notables :

Root\
├── InventoryApplicationFile     ← la clé principale
├── InventoryApplication
├── InventoryDriverBinary
├── InventoryDeviceContainer
├── InventoryDevicePnp
├── InventoryApplicationShortcut
├── Programs   (hérité)
└── File       (hérité)

Pour la visite complète clé par clé, voir Structure du registre Amcache.

Pourquoi elle n'est pas dans HKLM par défaut#

Amcache est l'une de plusieurs ruches « lazy-mounted » — Windows la charge à la demande quand l'appraiser en a besoin, et la décharge ensuite. C'est le même motif que les ruches NTUSER.DAT par utilisateur : elles ne sont montées que lorsque l'utilisateur est connecté.

Sur un système en cours d'exécution, vous pouvez voir si Amcache est actuellement chargé avec :

Get-ChildItem HKLM:\ | Where-Object Name -like '*Amcache*'

Si l'appraiser est en pleine exécution, vous pouvez voir HKLM\Amcache listé. La plupart du temps, la ruche est déchargée et le fichier est fermé.

Charger manuellement la ruche#

Pour inspecter la ruche dans regedit ou reg.exe :

# 1. Copier la ruche live dans un répertoire de travail (le fichier est verrouillé pendant qu'il est chargé)
Copy-Item 'C:\Windows\AppCompat\Programs\Amcache.hve' 'C:\Triage\' -Force
 
# 2. Charger la copie dans un point de montage temporaire
reg load HKLM\TempAmcache 'C:\Triage\Amcache.hve'
 
# 3. Interroger
reg query HKLM\TempAmcache\Root
reg query HKLM\TempAmcache\Root\InventoryApplicationFile
 
# 4. Toujours décharger une fois terminé
reg unload HKLM\TempAmcache

Pour la plupart des besoins DFIR, utilisez AmcacheParser à la place — il parse la ruche directement sans avoir besoin de la charger, produit des CSV structurés et gère les journaux de transactions automatiquement.

Voir aussi#

Où se trouve Amcache.hve sur le disque — la référence de chemin par version + workflow de collecte.
Structure du registre Amcache — chaque clé à l'intérieur de la ruche.
Guide complet AmcacheParser — le parser canonique.

Où se trouve la clé de registre Amcache ?

Pourquoi elle n'est pas dans HKLM par défaut#

Charger manuellement la ruche#

Voir aussi#

Articles liés