2018
10
09

Amcacheとは

AmcacheとはWindows上で最近実行されたファイルの情報を記録したレジストリ・ファイルです。RecentFileCache.bcfに代わるものとしてWindows 8で実装されました。Windows Server 2012にも実装されています。またWindows 7でもWindows Update KB2952664がインストールされている場合、サポートされます。

Amcacheは以下に配置されています。

\%SystemRoot%\AppCompat\Programs\Amcache.hve
(C:\Windows\AppCompat\Programs\Amcache.hve)



AmcacheにはWindows上で最近実行されたファイルに関する以下の情報が記録されています。

- ファイルのフルパス
- ファイルサイズ
- ファイルのタイムスタンプ
- ファイルのSHA-1ハッシュ値
- その他いろいろ

Shimcacheとの一番の違いはファイルのSHA-1ハッシュ値を記録している点です。Amcache.hveはこちらのスクリプトでパースできます。

以上。

参考URL
https://www.andreafortuna.org/cybersecurity/amcache-and-shimcache-in-forensic-analysis/
http://www.swiftforensics.com/2016/05/amcache-on-windows-7.html
Comment



Only the blog author may view the comment.


Trackback
Trackback URL

«  | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード