Amcache.hve
Was ist Amcache.hve?
Amcache.hveWindows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
Amcache.hve liegt unter C:\Windows\AppCompat\Programs\ und wird vom Application-Experience-Dienst gefuellt. Sie speichert reichhaltige Metadaten zu Executables, Treibern und installierten Programmen, darunter vollstaendiger Pfad, Groesse, PE-Compile-Zeit, letzte Aenderung, Herausgeber und einen SHA-1-Hash der ersten 31 MB der Binary. Ab Windows 8 hat Amcache Shimcache als wichtigsten Programmausfuehrungs-Artefakt de facto abgeloest, weil sie auch Binaries erfasst, die nur untersucht und nicht zwingend gestartet wurden. Ermittler nutzen AmcacheParser (Eric Zimmerman), um InventoryApplicationFile-Eintraege zu extrahieren und Hashes gegen Threat-Intelligence abzugleichen, um laengst geloeschte Malware zu identifizieren.
Eine entscheidende Feinheit: Ein Amcache-InventoryApplicationFile-Eintrag belegt, dass eine Binary auf dem System vorhanden war, nicht, dass sie definitiv ausgefuehrt wurde — der Application-Experience-/PCA-Dienst inventarisiert die von ihm entdeckten Dateien, sodass das Artefakt eher als Existenznachweis denn als garantierte Ausfuehrung zu beschreiben ist. Die gespeicherte FileID ist der SHA-1 der Datei mit vier vorangestellten Nullen, und entscheidend ist, dass dieser Hash nur die ersten 31.457.280 Bytes (≈31 MB) abdeckt; bei groesseren Binaries stimmt er nicht mit einem Vollfile-SHA-1 auf VirusTotal ueberein — eine haeufige Ursache fuer "verpasste" Treffer. Jeder Eintrag erfasst zudem seine eigene Registry-Key-LastWrite-Zeit, die naeherungsweise angibt, wann die Datei erstmals inventarisiert wurde.
Unter Windows 10/11 enthaelt die Hive-Wurzel sowohl InventoryApplicationFile (Executables) als auch InventoryDriverBinary (Treiber), was Amcache zu einem der wenigen Artefakte macht, das die in BYOVD-Angriffen (bring-your-own-vulnerable-driver) genutzten boesartigen signierten Treiber sichtbar macht. Analysten parsen sie mit AmcacheParser oder dem RegRipper-amcache-Plugin und pivotieren dann die SHA-1-Werte gegen Threat-Intelligence, um eine Angreifer-Timeline zu rekonstruieren — eine Technik, die in SANS FOR500/FOR508 gelehrt wird und genutzt wird, um laengst geloeschte Cobalt-Strike-Beacons und Ransomware-Loader noch lange nach dem Loeschen der Binaries zuzuordnen.
flowchart TD A[Application-Experience-/PCA-Dienst] -->|inventarisiert Binary| B[Amcache.hve] B --> C[InventoryApplicationFile: Pfad, Groesse, SHA-1 der ersten 31MB] B --> D[InventoryDriverBinary: Treiber] C --> E[AmcacheParser / RegRipper] D --> E E -->|SHA-1-Pivot| F[Threat-Intelligence-Treffer] F --> G[Timeline rekonstruieren]
● Beispiele
- 01
Identifikation eines geloeschten Cobalt-Strike-Beacons anhand seines in Amcache.hve gespeicherten SHA-1.
- 02
Erstellen einer Liste aller je in C:\Users\Public\ vorhandenen Binaries fuer das Triage.
● Häufige Fragen
Was ist Amcache.hve?
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Amcache.hve?
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
Wie schützt man sich gegen Amcache.hve?
Schutzmaßnahmen gegen Amcache.hve kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Amcache.hve?
Übliche alternative Bezeichnungen: Amcache, AppCompat Amcache.