Amcache.hve
Что такое Amcache.hve?
Amcache.hveКуст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
Amcache.hve расположен в C:\Windows\AppCompat\Programs\ и заполняется службой Application Experience. Он хранит подробные метаданные об исполняемых файлах, драйверах и установленных программах: полный путь, размер, время компиляции PE, время последнего изменения, издателя и SHA-1 первых 31 МБ файла. Начиная с Windows 8 Amcache фактически вытеснил Shimcache как основной артефакт исполнения, поскольку фиксирует и образцы, которые были лишь просканированы, а не обязательно запущены. Криминалисты применяют AmcacheParser (Эрик Циммерман) для извлечения записей InventoryApplicationFile и сверяют хеши с threat intelligence, чтобы выявить давно удалённое ВПО.
Важный нюанс: запись InventoryApplicationFile в Amcache доказывает, что бинарь присутствовал в системе, но не то, что он точно был запущен — служба Application Experience / PCA инвентаризирует обнаруженные файлы, поэтому артефакт лучше описывать как свидетельство существования, а не как гарантированный запуск. Хранимый FileID — это SHA-1 файла с четырьмя нулями в начале, и принципиально важно, что этот хеш охватывает лишь первые 31 457 280 байт (≈31 МБ); для более крупных бинарей он не совпадёт с SHA-1 полного файла на VirusTotal — частая причина «пропущенных» обнаружений. Каждая запись также фиксирует собственное время LastWrite своего ключа реестра, которое приблизительно соответствует моменту первой инвентаризации файла.
В Windows 10/11 корень куста содержит и InventoryApplicationFile (исполняемые файлы), и InventoryDriverBinary (драйверы), что делает Amcache одним из немногих артефактов, выявляющих вредоносные подписанные драйверы, применяемые в атаках BYOVD (bring-your-own-vulnerable-driver). Аналитики разбирают его с помощью AmcacheParser или плагина amcache для RegRipper, а затем сопоставляют значения SHA-1 с threat intelligence, чтобы восстановить хронологию действий злоумышленника — этот приём преподаётся в SANS FOR500/FOR508 и используется для атрибуции уже удалённых маяков Cobalt Strike и загрузчиков программ-вымогателей спустя долгое время после стирания бинарей.
flowchart TD A[Служба Application Experience / PCA] -->|инвентаризирует бинарь| B[Amcache.hve] B --> C[InventoryApplicationFile: путь, размер, SHA-1 первых 31MB] B --> D[InventoryDriverBinary: драйверы] C --> E[AmcacheParser / RegRipper] D --> E E -->|сопоставление по SHA-1| F[Совпадение с threat intelligence] F --> G[Восстановить хронологию]
● Примеры
- 01
Идентификация удалённого маяка Cobalt Strike по SHA-1, сохранённому в Amcache.hve.
- 02
Построение списка всех бинарей, когда-либо находившихся в C:\Users\Public\, для триажа.
● Частые вопросы
Что такое Amcache.hve?
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Amcache.hve?
Куст реестра Windows, фиксирующий подробные метаданные (включая SHA-1) о каждом исполняемом файле, который запускался или присутствовал в системе; в современных Windows — веское доказательство запуска.
Как защититься от Amcache.hve?
Защита от Amcache.hve обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Amcache.hve?
Распространённые альтернативные названия: Amcache, AppCompat Amcache.