Amcache.hve
Amcache.hve 是什么?
Amcache.hveWindows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
Amcache.hve 位于 C:\Windows\AppCompat\Programs\,由 Application Experience 服务填充。它保存可执行文件、驱动程序和已安装程序的丰富元数据,包括完整路径、文件大小、PE 编译时间、最近修改时间、发布者,以及二进制前 31 MB 的 SHA-1 哈希。在 Windows 8 及更高版本中,Amcache 实际上已取代 Shimcache 成为最主要的程序执行证据,因为即便文件仅被扫描而未实际运行,也会被记录。调查人员通过 Eric Zimmerman 的 AmcacheParser 提取 InventoryApplicationFile 条目,再与威胁情报中的哈希进行比对,以识别早已被删除的恶意软件。
● 示例
- 01
通过 Amcache.hve 中保存的 SHA-1 识别一个已被删除的 Cobalt Strike beacon。
- 02
为应急排查构建 C:\Users\Public\ 下曾经出现过的所有二进制文件清单。
● 常见问题
Amcache.hve 是什么?
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。 它属于网络安全的 取证与应急响应 分类。
Amcache.hve 是什么意思?
Windows 注册表配置单元,记录系统中执行过或出现过的每个可执行文件的详细元数据(含 SHA-1),在现代 Windows 中是有力的执行证据。
Amcache.hve 是如何工作的?
Amcache.hve 位于 C:\Windows\AppCompat\Programs\,由 Application Experience 服务填充。它保存可执行文件、驱动程序和已安装程序的丰富元数据,包括完整路径、文件大小、PE 编译时间、最近修改时间、发布者,以及二进制前 31 MB 的 SHA-1 哈希。在 Windows 8 及更高版本中,Amcache 实际上已取代 Shimcache 成为最主要的程序执行证据,因为即便文件仅被扫描而未实际运行,也会被记录。调查人员通过 Eric Zimmerman 的 AmcacheParser 提取 InventoryApplicationFile 条目,再与威胁情报中的哈希进行比对,以识别早已被删除的恶意软件。
如何防御 Amcache.hve?
针对 Amcache.hve 的防御通常结合技术控制与运营实践,详见上方完整定义。
Amcache.hve 还有哪些其他名称?
常见的别称包括: Amcache, AppCompat Amcache。
● 相关术语
- forensics-ir№ 1034
Shimcache (AppCompatCache)
Windows 注册表中的一个值,用于应用兼容性检查时记录可执行文件元数据;历史上常作为执行证据,但在解读时需特别注意若干限制。
- forensics-ir№ 850
Prefetch 文件
存放于 C:\Windows\Prefetch 的 Windows .pf 文件,记录进程启动信息,是证明可执行文件曾在系统上运行的有力取证依据。
- forensics-ir№ 677
MFT(主文件表)
NTFS 的核心元数据结构,为卷上每个文件或目录保存一条 1024 字节的记录,几乎所有 Windows 文件系统取证都以它为基础。
- forensics-ir№ 001
$UsnJrnl ($J)
NTFS 更新序列号变更日志,记录每一次文件系统操作,为取证人员提供高粒度的文件创建、修改与删除时间线。
- forensics-ir№ 568
跳转列表 (Jump Lists)
按 Windows AppID 索引的应用程序历史文件,记录用户最近打开的文件和任务,是将文件访问与特定程序关联的有力证据。
● 参见
- № 1031Shellbags
- № 787pagefile.sys
- № 474hiberfil.sys
- № 766易失性顺序 (Order of Volatility)