AmCache

Aus IT-Forensik Wiki

Der AmCache.hve ist eine Registry-Datei, die Informationen über das Ausführen und Installieren von Anwendungen speichert. Das Artefakt ist ab den Microsoft Windows Versionen Windows 7 und Windows Server 2008 R2 existent.[1]


Artefakte AmCache:

Attribut Wert
Pfad Windows7/8/8.1 \%SystemRoot\%\AppCompat\Programs\Amcache.hve
Pfad Windows 10 \%SystemRoot\%\appcompat\Programs\Amcache.hve
Program name Programmname
Last modified timestamp Zeitpunkte erste Ausführung
Full path to file Vollständiger Pfad zur ausgeführten Datei
SHA-1 hash of executable file SHA1-Hash der ausgeführten Datei

Tabelle: Auszug relevante Informationen, Quelle: [2]


Zur Auswertung der AmCache-Datei können zum Beispiel folgende Werkzeuge einge- setzt werden:

  • RegRipper[3]
  • AmcacheParser[4]

Quellen:
[1] Blanche Lagny, ANSSI, ANALYSIS OF THE AMCACHE V2: https://www.ssi.gouv.fr/uploads/2019/01/anssi- coriin_2019-analysis_amcache.pdf

[2] Singh, Bhupendra and Singh, Upasna (2016) Leveraging the Windows Amcache.hve File in Forensic Investigations,"Journal of Digital Forensics, Security and Law: Vol. 11 , Article 7. DOI: https://doi.org/10.15394/jdfsl.2016.1429

[3] https://ericzimmerman.github.io/#!index.md

[4] https://github.com/keydet89/RegRipper3.0