Amcache.hve
Was ist Amcache.hve?
Amcache.hveWindows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
Amcache.hve liegt unter C:\Windows\AppCompat\Programs\ und wird vom Application-Experience-Dienst gefuellt. Sie speichert reichhaltige Metadaten zu Executables, Treibern und installierten Programmen, darunter vollstaendiger Pfad, Groesse, PE-Compile-Zeit, letzte Aenderung, Herausgeber und einen SHA-1-Hash der ersten 31 MB der Binary. Ab Windows 8 hat Amcache Shimcache als wichtigsten Programmausfuehrungs-Artefakt de facto abgeloest, weil sie auch Binaries erfasst, die nur untersucht und nicht zwingend gestartet wurden. Ermittler nutzen AmcacheParser (Eric Zimmerman), um InventoryApplicationFile-Eintraege zu extrahieren und Hashes gegen Threat-Intelligence abzugleichen, um laengst geloeschte Malware zu identifizieren.
● Beispiele
- 01
Identifikation eines geloeschten Cobalt-Strike-Beacons anhand seines in Amcache.hve gespeicherten SHA-1.
- 02
Erstellen einer Liste aller je in C:\Users\Public\ vorhandenen Binaries fuer das Triage.
● Häufige Fragen
Was ist Amcache.hve?
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Amcache.hve?
Windows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
Wie funktioniert Amcache.hve?
Amcache.hve liegt unter C:\Windows\AppCompat\Programs\ und wird vom Application-Experience-Dienst gefuellt. Sie speichert reichhaltige Metadaten zu Executables, Treibern und installierten Programmen, darunter vollstaendiger Pfad, Groesse, PE-Compile-Zeit, letzte Aenderung, Herausgeber und einen SHA-1-Hash der ersten 31 MB der Binary. Ab Windows 8 hat Amcache Shimcache als wichtigsten Programmausfuehrungs-Artefakt de facto abgeloest, weil sie auch Binaries erfasst, die nur untersucht und nicht zwingend gestartet wurden. Ermittler nutzen AmcacheParser (Eric Zimmerman), um InventoryApplicationFile-Eintraege zu extrahieren und Hashes gegen Threat-Intelligence abzugleichen, um laengst geloeschte Malware zu identifizieren.
Wie schützt man sich gegen Amcache.hve?
Schutzmaßnahmen gegen Amcache.hve kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Amcache.hve?
Übliche alternative Bezeichnungen: Amcache, AppCompat Amcache.
● Verwandte Begriffe
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen.
- forensics-ir№ 850
Prefetch-Dateien
Windows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
- forensics-ir№ 677
MFT (Master File Table)
Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
- forensics-ir№ 001
$UsnJrnl ($J)
Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.
- forensics-ir№ 568
Jump Lists
Anwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen.
● Siehe auch
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys
- № 766Order of Volatility