Amcache.hve
¿Qué es Amcache.hve?
Amcache.hveColmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
Amcache.hve, ubicada en C:\Windows\AppCompat\Programs, es una colmena de registro alimentada por el servicio Application Experience. Almacena metadatos detallados de ejecutables, controladores y programas instalados, incluyendo ruta completa, tamano, hora de compilacion PE, ultima modificacion, editor y un hash SHA-1 de los primeros 31 MB del binario. En Windows 8 y posteriores, Amcache sustituyo de facto a Shimcache como principal artefacto de ejecucion porque captura incluso muestras escaneadas y no necesariamente ejecutadas. Los investigadores usan AmcacheParser (Eric Zimmerman) para extraer entradas InventoryApplicationFile y cotejar los hashes con threat intelligence para identificar malware borrado hace tiempo.
Un matiz critico: una entrada InventoryApplicationFile de Amcache prueba que un binario estuvo presente en el sistema, no que se haya ejecutado con certeza; el servicio Application Experience / PCA inventaria los archivos que descubre, por lo que el artefacto se describe mejor como evidencia de existencia que como ejecucion garantizada. El FileID almacenado es el SHA-1 del archivo precedido por cuatro ceros y, fundamentalmente, ese hash cubre solo los primeros 31.457.280 bytes (≈31 MB); para binarios mas grandes no coincidira con un SHA-1 de archivo completo en VirusTotal, una fuente frecuente de detecciones "perdidas". Cada entrada tambien registra su propia hora LastWrite de la clave de registro, que aproxima cuando se inventario el archivo por primera vez.
En Windows 10/11 la raiz de la colmena contiene tanto InventoryApplicationFile (ejecutables) como InventoryDriverBinary (controladores), lo que convierte a Amcache en uno de los pocos artefactos que revela los controladores firmados maliciosos usados en ataques BYOVD (bring-your-own-vulnerable-driver). Los analistas la procesan con AmcacheParser o el plugin amcache de RegRipper y luego pivotan los valores SHA-1 contra threat intelligence para reconstruir la cronologia del adversario, una tecnica ensenada en SANS FOR500/FOR508 y usada para atribuir beacons de Cobalt Strike y cargadores de ransomware ya borrados mucho despues de que los binarios fueran eliminados.
flowchart TD A[Servicio Application Experience / PCA] -->|inventaria binario| B[Amcache.hve] B --> C[InventoryApplicationFile: ruta, tamano, SHA-1 de los primeros 31MB] B --> D[InventoryDriverBinary: controladores] C --> E[AmcacheParser / RegRipper] D --> E E -->|pivote SHA-1| F[Coincidencia con threat intelligence] F --> G[Reconstruir cronologia]
● Ejemplos
- 01
Identificar un beacon de Cobalt Strike ya borrado a partir de su SHA-1 en Amcache.hve.
- 02
Construir una lista de todo binario que haya residido en C:\Users\Public\ para triage.
● Preguntas frecuentes
¿Qué es Amcache.hve?
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Amcache.hve?
Colmena del registro de Windows que registra metadatos detallados (incluido un SHA-1) de cada ejecutable que ha corrido o estado presente en el sistema, ofreciendo solida evidencia de ejecucion en Windows moderno.
¿Cómo defenderse de Amcache.hve?
Las defensas contra Amcache.hve combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Amcache.hve?
Nombres alternativos comunes: Amcache, AppCompat Amcache.