Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 049

Amcache.hve

ПроверилCybersecurity entrepreneur & security researcher

Что такое Amcache.hve?

Amcache.hveКуст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.


Amcache.hve расположен в C:\Windows\AppCompat\Programs\ и заполняется службой Application Experience. Он хранит подробные метаданные об исполняемых файлах, драйверах и установленных программах: полный путь, размер, время компиляции PE, время последнего изменения, издателя и SHA-1 первых 31 МБ файла. Начиная с Windows 8 Amcache фактически вытеснил Shimcache как основной артефакт исполнения, поскольку фиксирует и образцы, которые были лишь просканированы, а не обязательно запущены. Криминалисты применяют AmcacheParser (Эрик Циммерман) для извлечения записей InventoryApplicationFile и сверяют хеши с threat intelligence, чтобы выявить давно удалённое ВПО.

Важный нюанс: запись InventoryApplicationFile в Amcache доказывает, что бинарь присутствовал в системе, но не то, что он точно был запущен — служба Application Experience / PCA инвентаризирует обнаруженные файлы, поэтому артефакт лучше описывать как свидетельство существования, а не как гарантированный запуск. Хранимый FileID — это SHA-1 файла с четырьмя нулями в начале, и принципиально важно, что этот хеш охватывает лишь первые 31 457 280 байт (≈31 МБ); для более крупных бинарей он не совпадёт с SHA-1 полного файла на VirusTotal — частая причина «пропущенных» обнаружений. Каждая запись также фиксирует собственное время LastWrite своего ключа реестра, которое приблизительно соответствует моменту первой инвентаризации файла.

В Windows 10/11 корень куста содержит и InventoryApplicationFile (исполняемые файлы), и InventoryDriverBinary (драйверы), что делает Amcache одним из немногих артефактов, выявляющих вредоносные подписанные драйверы, применяемые в атаках BYOVD (bring-your-own-vulnerable-driver). Аналитики разбирают его с помощью AmcacheParser или плагина amcache для RegRipper, а затем сопоставляют значения SHA-1 с threat intelligence, чтобы восстановить хронологию действий злоумышленника — этот приём преподаётся в SANS FOR500/FOR508 и используется для атрибуции уже удалённых маяков Cobalt Strike и загрузчиков программ-вымогателей спустя долгое время после стирания бинарей.

flowchart TD
  A[Служба Application Experience / PCA] -->|инвентаризирует бинарь| B[Amcache.hve]
  B --> C[InventoryApplicationFile: путь, размер, SHA-1 первых 31MB]
  B --> D[InventoryDriverBinary: драйверы]
  C --> E[AmcacheParser / RegRipper]
  D --> E
  E -->|сопоставление по SHA-1| F[Совпадение с threat intelligence]
  F --> G[Восстановить хронологию]

Примеры

  1. 01

    Идентификация удалённого маяка Cobalt Strike по SHA-1, сохранённому в Amcache.hve.

  2. 02

    Построение списка всех бинарей, когда-либо находившихся в C:\Users\Public\, для триажа.

Частые вопросы

Что такое Amcache.hve?

Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска. Относится к категории Криминалистика и реагирование в кибербезопасности.

Что означает Amcache.hve?

Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.

Как защититься от Amcache.hve?

Защита от Amcache.hve обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Amcache.hve?

Распространённые альтернативные названия: Amcache, AppCompat Amcache.

Связанные термины

См. также