Amcache.hve
O que é Amcache.hve?
Amcache.hveColmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
O Amcache.hve, em C:\Windows\AppCompat\Programs, e uma colmeia do registro alimentada pelo servico Application Experience. Armazena metadados ricos sobre executaveis, drivers e programas instalados, incluindo caminho completo, tamanho, hora de compilacao PE, ultima modificacao, publicador e hash SHA-1 dos primeiros 31 MB do binario. A partir do Windows 8, o Amcache substituiu de fato o Shimcache como principal artefato de execucao porque captura ate amostras que foram apenas analisadas, nao necessariamente executadas. Investigadores usam o AmcacheParser (Eric Zimmerman) para extrair entradas InventoryApplicationFile e cruzar os hashes com threat intelligence, identificando malware ja removido.
Uma nuance critica: uma entrada InventoryApplicationFile do Amcache prova que um binario estava presente no sistema, nao que ele definitivamente foi executado — o servico Application Experience / PCA inventaria os arquivos que descobre, de modo que o artefato e melhor descrito como evidencia de existencia do que como execucao garantida. O FileID armazenado e o SHA-1 do arquivo precedido por quatro zeros e, fundamentalmente, esse hash cobre apenas os primeiros 31.457.280 bytes (≈31 MB); para binarios maiores ele nao corresponde a um SHA-1 de arquivo completo no VirusTotal — uma fonte frequente de deteccoes "perdidas". Cada entrada tambem registra a propria hora LastWrite da chave de registro, que aproxima quando o arquivo foi inventariado pela primeira vez.
No Windows 10/11, a raiz da colmeia contem tanto InventoryApplicationFile (executaveis) quanto InventoryDriverBinary (drivers), tornando o Amcache um dos poucos artefatos que revela os drivers assinados maliciosos usados em ataques BYOVD (bring-your-own-vulnerable-driver). Os analistas o processam com o AmcacheParser ou o plugin amcache do RegRipper e entao pivotam os valores SHA-1 contra threat intelligence para reconstruir a linha do tempo do adversario — uma tecnica ensinada no SANS FOR500/FOR508 e usada para atribuir beacons do Cobalt Strike e loaders de ransomware ja removidos muito depois de os binarios terem sido apagados.
flowchart TD A[Servico Application Experience / PCA] -->|inventaria binario| B[Amcache.hve] B --> C[InventoryApplicationFile: caminho, tamanho, SHA-1 dos primeiros 31MB] B --> D[InventoryDriverBinary: drivers] C --> E[AmcacheParser / RegRipper] D --> E E -->|pivo SHA-1| F[Correspondencia com threat intelligence] F --> G[Reconstruir linha do tempo]
● Exemplos
- 01
Identificar um beacon do Cobalt Strike ja removido pelo SHA-1 guardado no Amcache.hve.
- 02
Montar uma lista de todo binario que residiu em C:\Users\Public\ para triagem.
● Perguntas frequentes
O que é Amcache.hve?
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Amcache.hve?
Colmeia do registro do Windows que armazena metadados detalhados (incluindo SHA-1) de cada executavel que rodou ou esteve presente no sistema, oferecendo forte evidencia de execucao em Windows moderno.
Como se defender contra Amcache.hve?
As defesas contra Amcache.hve costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Amcache.hve?
Nomes alternativos comuns: Amcache, AppCompat Amcache.