Amcache.hve
¿Qué es Amcache.hve?
Amcache.hveColmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
Amcache.hve, ubicada en C:\Windows\AppCompat\Programs\, es una colmena de registro alimentada por el servicio Application Experience. Almacena metadatos detallados de ejecutables, controladores y programas instalados, incluyendo ruta completa, tamano, hora de compilacion PE, ultima modificacion, editor y un hash SHA-1 de los primeros 31 MB del binario. En Windows 8 y posteriores, Amcache sustituyo de facto a Shimcache como principal artefacto de ejecucion porque captura incluso muestras escaneadas y no necesariamente ejecutadas. Los investigadores usan AmcacheParser (Eric Zimmerman) para extraer entradas InventoryApplicationFile y cotejar los hashes con threat intelligence para identificar malware borrado hace tiempo.
● Ejemplos
- 01
Identificar un beacon de Cobalt Strike ya borrado a partir de su SHA-1 en Amcache.hve.
- 02
Construir una lista de todo binario que haya residido en C:\Users\Public\ para triage.
● Preguntas frecuentes
¿Qué es Amcache.hve?
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Amcache.hve?
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
¿Cómo funciona Amcache.hve?
Amcache.hve, ubicada en C:\Windows\AppCompat\Programs\, es una colmena de registro alimentada por el servicio Application Experience. Almacena metadatos detallados de ejecutables, controladores y programas instalados, incluyendo ruta completa, tamano, hora de compilacion PE, ultima modificacion, editor y un hash SHA-1 de los primeros 31 MB del binario. En Windows 8 y posteriores, Amcache sustituyo de facto a Shimcache como principal artefacto de ejecucion porque captura incluso muestras escaneadas y no necesariamente ejecutadas. Los investigadores usan AmcacheParser (Eric Zimmerman) para extraer entradas InventoryApplicationFile y cotejar los hashes con threat intelligence para identificar malware borrado hace tiempo.
¿Cómo defenderse de Amcache.hve?
Las defensas contra Amcache.hve combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Amcache.hve?
Nombres alternativos comunes: Amcache, AppCompat Amcache.
● Términos relacionados
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor del registro de Windows que guarda metadatos de ejecutables para comprobaciones de compatibilidad; usado historicamente como evidencia de ejecucion, con importantes matices de interpretacion.
- forensics-ir№ 850
Archivos Prefetch
Archivos .pf de Windows en C:\Windows\Prefetch que registran el arranque de los procesos y aportan una prueba forense solida de que un ejecutable se ejecuto en el sistema.
- forensics-ir№ 677
MFT (Master File Table)
Estructura central de metadatos de NTFS que almacena un registro de 1024 bytes por cada archivo o directorio del volumen y sustenta casi todo el análisis forense del sistema de archivos de Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Diario de numeros de secuencia de actualizacion (USN) de NTFS que registra cada operacion del sistema de archivos, dando a los forenses una linea de tiempo de alta resolucion de creaciones, modificaciones y borrados.
- forensics-ir№ 568
Jump Lists
Archivos de historial por aplicacion identificados por el AppID de Windows que guardan los archivos y tareas recientes de un usuario, una prueba solida de acceso a archivos ligada a un programa concreto.
● Véase también
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys
- № 766Orden de volatilidad