Qui a créé AmcacheParser ?
AmcacheParser a été créé par Eric Zimmerman, ancien agent spécial du FBI et actuel Senior Director chez Kroll. Il le maintient dans le cadre de sa suite d'outils DFIR gratuite et open-source publiée à ericzimmerman.github.io.
Eric publie des outils forensiques depuis plus d'une décennie. Sa suite — généralement appelée les « outils Zimmerman » ou « Get-ZimmermanTools » — est le kit d'outils DFIR Windows de facto standard.
Parcours d'Eric Zimmerman#
- Ancien agent spécial du FBI spécialisé dans la forensique numérique.
- Actuellement Senior Director chez Kroll, où il dirige l'outillage pour la pratique de réponse à incident du cabinet.
- Instructeur SANS pour FOR498 (Battlefield Forensics) et contributeur à FOR500 (Windows Forensic Analysis). Le cursus SANS DFIR fait un usage extensif de son kit d'outils.
- Auteur de nombreuses contributions à la communauté DFIR incluant articles de blog, présentations en conférence et maintenance d'EZTools.
La suite d'outils Zimmerman#
AmcacheParser est l'un d'une douzaine d'outils qu'Eric maintient :
| Outil | Parse |
|---|---|
| AmcacheParser | Amcache.hve |
| MFTECmd | $MFT, $LogFile, $J, $Boot, $SDS |
| RECmd | Toute ruche du registre (processeur batch) |
| RBCmd | Corbeille (fichiers $I*) |
| PECmd | Windows Prefetch |
| EvtxECmd | Journaux d'événements Windows (.evtx) |
| JLECmd | Jump Lists |
| LECmd | Fichiers LNK Windows |
| SBECmd | Shellbags |
| AppCompatCacheParser | ShimCache |
| SrumECmd | SRUM (SRUDB.dat) |
Tous sous licence MIT. Tous gratuits pour usage commercial. Tous produisent du CSV structuré qui se charge proprement dans l'Timeline Explorer GUI compagnon d'Eric.
Comment installer la suite#
Utilisez l'installeur officiel Get-ZimmermanTools.ps1 :
mkdir C:\Tools\ZTools
cd C:\Tools\ZTools
Invoke-WebRequest `
-Uri 'https://raw.githubusercontent.com/EricZimmerman/Get-ZimmermanTools/master/Get-ZimmermanTools.ps1' `
-OutFile Get-ZimmermanTools.ps1
.\Get-ZimmermanTools.ps1 -Dest C:\Tools\ZTools -NetVersion 6Cela télécharge la suite entière, y compris AmcacheParser, dans
C:\Tools\ZTools. Réexécutez périodiquement pour rester à jour. Pour
les patterns de vérification et la configuration de miroirs, voir le
guide de téléchargement AmcacheParser.
Ce site (amcacheparser.com) est-il celui d'Eric ?#
Non. Le parser basé sur navigateur hébergé à amcacheparser.com est un projet indépendant. C'est une réimplémentation dans le navigateur du chemin de lecture Amcache en Rust + WebAssembly, conçue pour le triage et l'éducation. Il n'est pas affilié à Eric ou Kroll.
Nous créditons Eric tout au long de la documentation parce que son travail sur
l'AmcacheParser.exe original et sa publication de la
connaissance du schéma Amcache sont ce qui a rendu tout cela possible.
Voir aussi#
- Guide complet AmcacheParser — la référence canonique de l'outil.
- AmcacheParser est-il gratuit ?
- Guide de téléchargement AmcacheParser
Articles liés
- AmcacheParser est-il gratuit ?
Oui. AmcacheParser est gratuit pour tout usage, y compris le travail DFIR commercial, publié sous une licence permissive par Eric Zimmerman.
- Pourquoi mon Amcache.hve est-il vide ?
Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.
- Où se trouve la clé de registre Amcache ?
Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.
- Que contient Amcache.hve ?
Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.