Amcache.hve.

Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.

Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.

Amcache.hve, situee dans C:\Windows\AppCompat\Programs\, est une ruche de registre alimentee par le service Application Experience. Elle stocke des metadonnees riches sur les executables, pilotes et programmes installes : chemin complet, taille, date de compilation PE, derniere modification, editeur et un hash SHA-1 des 31 premiers Mo du binaire. Sur Windows 8 et superieur, Amcache a de facto remplace Shimcache comme principal artefact d'execution, car il capture meme des binaires simplement analyses et non necessairement lances. Les enqueteurs utilisent AmcacheParser (Eric Zimmerman) pour extraire les entrees InventoryApplicationFile, puis comparent les hashes a la threat intelligence afin d'identifier des malwares supprimes depuis longtemps.

Les défenses contre Amcache.hve combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Amcache, AppCompat Amcache.