Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 049

Amcache.hve

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Amcache.hve ?

Amcache.hveRuche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.


Amcache.hve, situee dans C:\Windows\AppCompat\Programs, est une ruche de registre alimentee par le service Application Experience. Elle stocke des metadonnees riches sur les executables, pilotes et programmes installes : chemin complet, taille, date de compilation PE, derniere modification, editeur et un hash SHA-1 des 31 premiers Mo du binaire. Sur Windows 8 et superieur, Amcache a de facto remplace Shimcache comme principal artefact d'execution, car il capture meme des binaires simplement analyses et non necessairement lances. Les enqueteurs utilisent AmcacheParser (Eric Zimmerman) pour extraire les entrees InventoryApplicationFile, puis comparent les hashes a la threat intelligence afin d'identifier des malwares supprimes depuis longtemps.

Une nuance essentielle : une entree InventoryApplicationFile d'Amcache prouve qu'un binaire etait present sur le systeme, pas qu'il s'est forcement execute ; le service Application Experience / PCA inventorie les fichiers qu'il decouvre, si bien que l'artefact se decrit mieux comme une preuve d'existence que comme une execution garantie. Le FileID stocke est le SHA-1 du fichier precede de quatre zeros et, point crucial, ce hash ne couvre que les 31 457 280 premiers octets (≈31 Mo) ; pour des binaires plus volumineux, il ne correspondra pas a un SHA-1 de fichier complet sur VirusTotal — une source frequente de detections "manquees". Chaque entree enregistre aussi sa propre date LastWrite de cle de registre, qui approxime le moment ou le fichier a ete inventorie pour la premiere fois.

Sous Windows 10/11, la racine de la ruche contient a la fois InventoryApplicationFile (executables) et InventoryDriverBinary (pilotes), ce qui fait d'Amcache l'un des rares artefacts a faire apparaitre les pilotes signes malveillants utilises dans les attaques BYOVD (bring-your-own-vulnerable-driver). Les analystes l'analysent avec AmcacheParser ou le plugin amcache de RegRipper, puis pivotent les valeurs SHA-1 contre la threat intelligence pour reconstituer la chronologie de l'adversaire — une technique enseignee dans SANS FOR500/FOR508 et utilisee pour attribuer des beacons Cobalt Strike et des loaders de ransomware deja supprimes, longtemps apres l'effacement des binaires.

flowchart TD
  A[Service Application Experience / PCA] -->|inventorie le binaire| B[Amcache.hve]
  B --> C[InventoryApplicationFile : chemin, taille, SHA-1 des 31 premiers Mo]
  B --> D[InventoryDriverBinary : pilotes]
  C --> E[AmcacheParser / RegRipper]
  D --> E
  E -->|pivot SHA-1| F[Correspondance threat intelligence]
  F --> G[Reconstituer la chronologie]

Exemples

  1. 01

    Identifier un beacon Cobalt Strike supprime via le SHA-1 stocke dans Amcache.hve.

  2. 02

    Construire une liste de tous les binaires ayant resider dans C:\Users\Public\ pour le triage.

Questions fréquentes

Qu'est-ce que Amcache.hve ?

Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.

Que signifie Amcache.hve ?

Ruche de registre Windows qui enregistre des metadonnees detaillees (dont un SHA-1) sur chaque executable ayant tourne ou ete present sur le systeme, et qui fournit une preuve d'execution solide sur Windows moderne.

Comment se défendre contre Amcache.hve ?

Les défenses contre Amcache.hve combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Amcache.hve ?

Noms alternatifs courants : Amcache, AppCompat Amcache.

Termes liés

Voir aussi