Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 049

Amcache.hve

审核人Cybersecurity entrepreneur & security researcher

Amcache.hve 是什么?

Amcache.hveWindows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。


Amcache.hve 位于 C:\Windows\AppCompat\Programs,由 Application Experience 服务填充。它保存可执行文件、驱动程序和已安装程序的丰富元数据,包括完整路径、文件大小、PE 编译时间、最近修改时间、发布者,以及二进制前 31 MB 的 SHA-1 哈希。在 Windows 8 及更高版本中,Amcache 实际上已取代 Shimcache 成为最主要的程序执行证据,因为即便文件仅被扫描而未实际运行,也会被记录。调查人员通过 Eric Zimmerman 的 AmcacheParser 提取 InventoryApplicationFile 条目,再与威胁情报中的哈希进行比对,以识别早已被删除的恶意软件。

一个关键的细微之处:Amcache 的 InventoryApplicationFile 条目只能证明某二进制文件曾存在于系统中,并不能确证它一定被执行过——Application Experience / PCA 服务会对其发现的文件进行清点,因此该痕迹更应被描述为存在证据,而非确凿的执行证据。所存储的 FileID 是文件 SHA-1 前面再加四个零,而且关键在于,该哈希仅覆盖前 31,457,280 字节(约 31 MB);对于更大的二进制文件,它无法与 VirusTotal 上的完整文件 SHA-1 匹配——这是"漏检"的常见根源。每个条目还会记录自身注册表键的 LastWrite 时间,可近似反映该文件首次被清点的时间。

在 Windows 10/11 上,该配置单元根部同时包含 InventoryApplicationFile(可执行文件)和 InventoryDriverBinary(驱动程序),这使 Amcache 成为少数能够揭示 BYOVD(自带易受攻击驱动)攻击中所用恶意签名驱动的痕迹之一。分析人员使用 AmcacheParser 或 RegRipper 的 amcache 插件进行解析,再将 SHA-1 值与威胁情报进行关联枢转,以重建攻击者时间线——这一技术在 SANS FOR500/FOR508 中讲授,并被用于在二进制文件被清除很久之后,归因已被删除的 Cobalt Strike beacon 和勒索软件加载器。

flowchart TD
  A[Application Experience / PCA 服务] -->|清点二进制文件| B[Amcache.hve]
  B --> C[InventoryApplicationFile: 路径、大小、前 31MB 的 SHA-1]
  B --> D[InventoryDriverBinary: 驱动程序]
  C --> E[AmcacheParser / RegRipper]
  D --> E
  E -->|SHA-1 关联枢转| F[威胁情报匹配]
  F --> G[重建时间线]

示例

  1. 01

    通过 Amcache.hve 中保存的 SHA-1 识别一个已被删除的 Cobalt Strike beacon。

  2. 02

    为应急排查构建 C:\Users\Public\ 下曾经出现过的所有二进制文件清单。

常见问题

Amcache.hve 是什么?

Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。 它属于网络安全的 取证与应急响应 分类。

Amcache.hve 是什么意思?

Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。

如何防御 Amcache.hve?

针对 Amcache.hve 的防御通常结合技术控制与运营实践,详见上方完整定义。

Amcache.hve 还有哪些其他名称?

常见的别称包括: Amcache, AppCompat Amcache。

相关术语

另见