Amcache.hve
Amcache.hve とは何ですか?
Amcache.hveWindows のレジストリハイブで、システム上で実行または存在した全実行ファイルの詳細メタデータ (SHA-1 含む) を保持し、現代 Windows における強力な実行証跡となる。
Amcache.hve は C:\Windows\AppCompat\Programs\ に置かれ、Application Experience サービスによって書き込まれるレジストリハイブです。実行ファイル・ドライバー・インストール済みプログラムの豊富なメタデータ (フルパス、ファイルサイズ、PE コンパイル日時、最終更新日時、発行元、バイナリ先頭 31 MB の SHA-1 ハッシュ) を保持します。Windows 8 以降では Amcache が事実上 Shimcache に代わる主要な実行系アーティファクトとなっており、実行ではなくスキャンされただけのバイナリも記録されます。調査担当者は Eric Zimmerman の AmcacheParser で InventoryApplicationFile を抽出し、ハッシュをスレットインテリジェンスと突き合わせて、すでに削除されたマルウェアを同定します。
重要な留意点があります。Amcache の InventoryApplicationFile エントリは、バイナリがシステム上に存在したことを示すものであり、必ずしも実行されたことを証明するものではありません。Application Experience / PCA サービスは発見したファイルを棚卸しするため、このアーティファクトは確実な実行の証拠というより、存在の証拠と表現するのが適切です。保存される FileID は、ファイルの SHA-1 の先頭に 4 つのゼロを付けたものであり、決定的に重要な点として、このハッシュは先頭 31,457,280 バイト(約 31 MB)のみを対象とします。より大きなバイナリでは、VirusTotal 上のファイル全体の SHA-1 とは一致せず、これが「検知漏れ」の頻出原因となります。各エントリは、そのレジストリキー自身の LastWrite 時刻も記録しており、これはファイルが最初に棚卸しされた時期の目安となります。
Windows 10/11 ではハイブのルートに InventoryApplicationFile(実行ファイル)と InventoryDriverBinary(ドライバー)の両方が保持されるため、Amcache は BYOVD(bring-your-own-vulnerable-driver)攻撃で使われる悪意ある署名付きドライバーを表面化できる数少ないアーティファクトの一つとなっています。アナリストは AmcacheParser または RegRipper の amcache プラグインで解析し、SHA-1 値をスレットインテリジェンスとピボットして攻撃者のタイムラインを再構築します。これは SANS FOR500/FOR508 で教えられる手法であり、バイナリが消去されてからかなり後になっても、すでに削除された Cobalt Strike ビーコンやランサムウェアローダーを帰属させるために用いられます。
flowchart TD A[Application Experience / PCA サービス] -->|バイナリを棚卸し| B[Amcache.hve] B --> C[InventoryApplicationFile: パス、サイズ、先頭 31MB の SHA-1] B --> D[InventoryDriverBinary: ドライバー] C --> E[AmcacheParser / RegRipper] D --> E E -->|SHA-1 ピボット| F[スレットインテリジェンスとの照合] F --> G[タイムラインを再構築]
● 例
- 01
Amcache.hve に残された SHA-1 から、すでに削除された Cobalt Strike ビーコンを同定する。
- 02
C:\Users\Public\ にかつて置かれた全バイナリの一覧をトリアージ用に作成する。
● よくある質問
Amcache.hve とは何ですか?
Windows のレジストリハイブで、システム上で実行または存在した全実行ファイルの詳細メタデータ (SHA-1 含む) を保持し、現代 Windows における強力な実行証跡となる。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
Amcache.hve とはどういう意味ですか?
Windows のレジストリハイブで、システム上で実行または存在した全実行ファイルの詳細メタデータ (SHA-1 含む) を保持し、現代 Windows における強力な実行証跡となる。
Amcache.hve からどのように防御しますか?
Amcache.hve に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
Amcache.hve の別名は何ですか?
一般的な別名: Amcache, AppCompat Amcache。