Amcache.hve
O que é Amcache.hve?
Amcache.hveColmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
O Amcache.hve, em C:\Windows\AppCompat\Programs\, e uma colmeia do registro alimentada pelo servico Application Experience. Armazena metadados ricos sobre executaveis, drivers e programas instalados, incluindo caminho completo, tamanho, hora de compilacao PE, ultima modificacao, publicador e hash SHA-1 dos primeiros 31 MB do binario. A partir do Windows 8, o Amcache substituiu de fato o Shimcache como principal artefato de execucao porque captura ate amostras que foram apenas analisadas, nao necessariamente executadas. Investigadores usam o AmcacheParser (Eric Zimmerman) para extrair entradas InventoryApplicationFile e cruzar os hashes com threat intelligence, identificando malware ja removido.
● Exemplos
- 01
Identificar um beacon do Cobalt Strike ja removido pelo SHA-1 guardado no Amcache.hve.
- 02
Montar uma lista de todo binario que residiu em C:\Users\Public\ para triagem.
● Perguntas frequentes
O que é Amcache.hve?
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Amcache.hve?
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
Como funciona Amcache.hve?
O Amcache.hve, em C:\Windows\AppCompat\Programs\, e uma colmeia do registro alimentada pelo servico Application Experience. Armazena metadados ricos sobre executaveis, drivers e programas instalados, incluindo caminho completo, tamanho, hora de compilacao PE, ultima modificacao, publicador e hash SHA-1 dos primeiros 31 MB do binario. A partir do Windows 8, o Amcache substituiu de fato o Shimcache como principal artefato de execucao porque captura ate amostras que foram apenas analisadas, nao necessariamente executadas. Investigadores usam o AmcacheParser (Eric Zimmerman) para extrair entradas InventoryApplicationFile e cruzar os hashes com threat intelligence, identificando malware ja removido.
Como se defender contra Amcache.hve?
As defesas contra Amcache.hve costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Amcache.hve?
Nomes alternativos comuns: Amcache, AppCompat Amcache.
● Termos relacionados
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Valor do registro do Windows que armazena metadados de executaveis para verificacoes de compatibilidade; historicamente usado como prova de execucao, com ressalvas importantes de interpretacao.
- forensics-ir№ 850
Arquivos Prefetch
Arquivos .pf do Windows em C:\Windows\Prefetch que registram a inicializacao de processos e fornecem prova forense robusta de que um executavel foi executado no sistema.
- forensics-ir№ 677
MFT (Master File Table)
Estrutura central de metadados do NTFS que armazena um registro de 1024 bytes por arquivo ou diretorio do volume e sustenta praticamente toda a forense do sistema de arquivos do Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Journal de numeros de sequencia de atualizacao do NTFS que registra cada operacao do sistema de arquivos e oferece aos forenses uma linha do tempo de alta resolucao de criacoes, modificacoes e exclusoes.
- forensics-ir№ 568
Jump Lists
Arquivos de historico por aplicativo indexados pelo AppID do Windows que registram os arquivos e tarefas recentes de um usuario, fornecendo prova solida de acesso a arquivo associado a um programa especifico.
● Veja também
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys
- № 766Ordem de volatilidade