Pourquoi mon Amcache.hve est-il vide ?

Trois causes courantes, par ordre approximatif de probabilité :

1. Le Compatibility Appraiser est désactivé#

C'est la cause la plus courante sur les serveurs de production et les endpoints durcis. Le fichier de ruche existe, mais la tâche planifiée qui y écrit est désactivée, donc aucune nouvelle entrée n'est ajoutée.

Comment vérifier :

# La tâche est-elle activée ?
Get-ScheduledTask `
  -TaskPath '\Microsoft\Windows\Application Experience\' `
  -TaskName 'Microsoft Compatibility Appraiser' |
  Select-Object State, LastRunTime, LastTaskResult
 
# La télémétrie est-elle désactivée par GPO ?
reg query 'HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection' /v AllowTelemetry

Signes que l'appraiser est désactivé :

  • Tâche State = Disabled.
  • LastRunTime correspond à la date d'installation de l'hôte ou à une date ancienne.
  • AllowTelemetry = 0 (surtout sur les Servers).

Si l'appraiser est intentionnellement désactivé, Amcache n'est pas un artefact utile pour les événements après la désactivation. Pivotez vers Sysmon, EDR, journal d'événements Security, MFT.

2. L'hôte vient d'être installé#

Un hôte Windows fraîchement imagé a un Amcache quasi-vide parce que l'appraiser ne s'est pas encore exécuté.

Postes : la première passe d'appraiser se termine typiquement dans les 24 heures du premier démarrage, parfois pendant l'expérience out-of-box initiale.

Serveurs : la première passe d'appraiser peut prendre 2-5 jours.

Vérifiez le plus petit KeyLastWriteTimestamp de la ruche par rapport à la date d'installation de l'hôte. S'ils correspondent et que l'hôte est tout neuf, la ruche se remplira au fur et à mesure que l'appraiser s'exécute.

3. Vous collectez depuis un Server (surtout Server Core)#

Les cadences Server sont beaucoup plus lentes que les postes :

Type d'hôte Cadence d'appraiser
Poste (Windows 10/11) ~24 heures
Server avec Desktop Experience 2-5 jours
Server Core Hebdomadaire ou plus
Server durci / DC Encore moins

Une ruche Server de 5-10 Mo après un an d'opération est normale, pas suspecte. L'Amcache Server est véritablement plus clairsemé parce que :

  • Les serveurs exécutent un ensemble stable de services, pas beaucoup de binaires ad hoc.
  • Peu d'utilisateurs interactifs signifie peu de chemins \Users\ à inventorier.
  • Les enregistrements de pilotes et périphériques sont stables.

Voir Amcache sur Windows Server pour la référence Server complète.

Causes moins courantes#

Rétention Volume Shadow Copy ou sauvegarde#

Si l'hôte a été restauré depuis une sauvegarde ou un instantané VSS récemment, Amcache reflète l'état au moment de l'instantané, pas le présent. Vérifiez les horodatages de système de fichiers sur le fichier de ruche lui-même par rapport à l'uptime rapporté de l'hôte.

Falsification par attaquant#

Rare. Si vous soupçonnez un nettoyage délibéré :

  1. Énumérez les Volume Shadow Copies — vssadmin list shadows.
  2. Parsez l'Amcache.hve de chaque shadow.
  3. Différenciez par rapport à la ruche live.

Entrées dans les shadows mais absentes de la live = preuve d'un nettoyage délibéré. Voir Amcache peut-il être effacé par des attaquants ?.

Corruption de ruche#

Très rare. Une ruche partiellement corrompue peut être parsée avec une sortie tronquée. AmcacheParser émet typiquement des avertissements concernant des incohérences de cellules si cela se produit. Vérifiez le log de parsing pour des avertissements.

Organigramme de diagnostic#

  1. Vérifiez le State et le LastRunTime de la tâche planifiée.
  2. Si désactivée → cause racine = appraiser désactivé. Pivotez vers d'autres artefacts.
  3. Si activée mais LastRunTime obsolète → vérifiez l'historique de la tâche dans l'Observateur d'événements (Microsoft-Windows-TaskScheduler/Operational) pour les échecs.
  4. Si la tâche s'exécute normalement → vérifiez la date d'installation de l'hôte.
  5. Si l'hôte est récemment installé → attendez et recollectez.
  6. Si l'hôte est établi et la ruche est toujours petite → vérifiez AllowTelemetry et la cadence Server vs Poste.
  7. Si rien ne s'applique et que la ruche devrait avoir des données riches → énumérez VSS, différenciez pour falsification.

Voir aussi#

Tagsqaforensiquewindowsamcachedépannage

Articles liés

  • Où se trouve la clé de registre Amcache ?

    Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.

  • Que contient Amcache.hve ?

    Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.

  • Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?

    Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.

  • Amcache.hve est-il un fichier de log ?

    Non. Amcache.hve est une ruche du registre Windows — une arborescence structurée clé-valeur dans le même format binaire que SYSTEM et NTUSER.DAT — pas un log plat.

Retour à tous les articles