Amcache.hve.

Windows のレジストリハイブで、システム上で実行または存在した全実行ファイルの詳細メタデータ (SHA-1 含む) を保持し、現代 Windows における強力な実行証跡となる。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

Windows のレジストリハイブで、システム上で実行または存在した全実行ファイルの詳細メタデータ (SHA-1 含む) を保持し、現代 Windows における強力な実行証跡となる。

Amcache.hve は C:\Windows\AppCompat\Programs\ に置かれ、Application Experience サービスによって書き込まれるレジストリハイブです。実行ファイル・ドライバー・インストール済みプログラムの豊富なメタデータ (フルパス、ファイルサイズ、PE コンパイル日時、最終更新日時、発行元、バイナリ先頭 31 MB の SHA-1 ハッシュ) を保持します。Windows 8 以降では Amcache が事実上 Shimcache に代わる主要な実行系アーティファクトとなっており、実行ではなくスキャンされただけのバイナリも記録されます。調査担当者は Eric Zimmerman の AmcacheParser で InventoryApplicationFile を抽出し、ハッシュをスレットインテリジェンスと突き合わせて、すでに削除されたマルウェアを同定します。

Amcache.hve に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: Amcache, AppCompat Amcache。