Amcache.hve
Что такое Amcache.hve?
Amcache.hveКуст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
Amcache.hve расположен в C:\Windows\AppCompat\Programs\ и заполняется службой Application Experience. Он хранит подробные метаданные об исполняемых файлах, драйверах и установленных программах: полный путь, размер, время компиляции PE, время последнего изменения, издателя и SHA-1 первых 31 МБ файла. Начиная с Windows 8 Amcache фактически вытеснил Shimcache как основной артефакт исполнения, поскольку фиксирует и образцы, которые были лишь просканированы, а не обязательно запущены. Криминалисты применяют AmcacheParser (Эрик Циммерман) для извлечения записей InventoryApplicationFile и сверяют хеши с threat intelligence, чтобы выявить давно удалённое ВПО.
● Примеры
- 01
Идентификация удалённого маяка Cobalt Strike по SHA-1, сохранённому в Amcache.hve.
- 02
Построение списка всех бинарей, когда-либо находившихся в C:\Users\Public\, для триажа.
● Частые вопросы
Что такое Amcache.hve?
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Amcache.hve?
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
Как работает Amcache.hve?
Amcache.hve расположен в C:\Windows\AppCompat\Programs\ и заполняется службой Application Experience. Он хранит подробные метаданные об исполняемых файлах, драйверах и установленных программах: полный путь, размер, время компиляции PE, время последнего изменения, издателя и SHA-1 первых 31 МБ файла. Начиная с Windows 8 Amcache фактически вытеснил Shimcache как основной артефакт исполнения, поскольку фиксирует и образцы, которые были лишь просканированы, а не обязательно запущены. Криминалисты применяют AmcacheParser (Эрик Циммерман) для извлечения записей InventoryApplicationFile и сверяют хеши с threat intelligence, чтобы выявить давно удалённое ВПО.
Как защититься от Amcache.hve?
Защита от Amcache.hve обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Amcache.hve?
Распространённые альтернативные названия: Amcache, AppCompat Amcache.
● Связанные термины
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Значение реестра Windows, отслеживающее метаданные исполняемых файлов для проверок совместимости; исторически применялся как доказательство запуска, но требует осторожной интерпретации.
- forensics-ir№ 850
Файлы Prefetch
Файлы Windows .pf в C:\Windows\Prefetch, фиксирующие запуск процессов и являющиеся надёжным криминалистическим доказательством того, что исполняемый файл выполнялся на системе.
- forensics-ir№ 677
MFT (Master File Table)
Центральная структура метаданных NTFS, в которой для каждого файла и каталога тома хранится запись по 1024 байта; на ней строится почти вся файловая криминалистика Windows.
- forensics-ir№ 001
$UsnJrnl ($J)
Журнал изменений Update Sequence Number файловой системы NTFS; фиксирует каждую операцию ФС, давая криминалистам подробную хронологию создания, изменения и удаления файлов.
- forensics-ir№ 568
Jump List (Списки переходов)
Файлы истории, привязанные к AppID Windows для каждого приложения; фиксируют недавно открытые пользователем файлы и задачи и служат веским доказательством доступа к файлу через конкретную программу.
● См. также
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys
- № 766Порядок волатильности