Amcache / Syscache

Amcache / Syscache (.hve)

But et fonction

Le fichier Amcache.hve est une ruche de registre qui sert de composant au cadre de compatibilité des applications Windows. Sa fonction principale est de stocker les métadonnées des applications récemment exécutées sur le système. Ces informations aident Windows à gérer les paramètres de compatibilité et à suivre les installations des programmes. Le Syscache.hve est son prédécesseur fonctionnel, présent sur des systèmes plus anciens comme Windows 7.

Du point de vue du DFIR, Amcache est une véritable mine d’or en criminalistique. Il fournit un enregistrement historique persistant des exécutions de programmes qui survit souvent à la désinstallation et au nettoyage de base des artefacts. Il est particulièrement précieux pour identifier les logiciels malveillants grâce à ses propriétés intrinsèques, telles que son hachage de fichier, plutôt que simplement par son nom de fichier.

Emplacement et structure

Amcache.hve est un fichier ruche de registre autonome, ne faisant pas partie du fichier principal ou des ruches. Il est généralement verrouillé par le système lorsque Windows fonctionne, nécessitant souvent des outils spécialisés ou une analyse hors ligne pour être analysé.SYSTEM SOFTWARE

  • Emplacement (Windows 8/10/11) : C:\Windows\AppCompat\Programs\Amcache.hve

  • Emplacement (Syscache sous Windows 7) : Souvent trouvé dans System Volume Information, comme ou vivant dans .C:\Windows\System32\config\RegBack\ C:\Windows\appcompat\Programs\

La ruche contient plusieurs clés, mais les données les plus pertinentes sur le plan médico-légal se trouvent généralement sous un chemin similaire à :Amcache.hve

Root\File\{Volume-GUID}\{File-Reference-Number}

Chaque entrée sous cette structure correspond à un fichier exécutable unique qui a été suivi par le système et contient un ensemble riche de valeurs de métadonnées.

Métadonnées stockées

Une entrée Amcache fournit une empreinte détaillée d’un programme exécuté, bien au-delà de son simple nom. Les métadonnées clés comprennent :

  • Parcours complet : Le chemin complet du fichier exécutable au moment où il a été suivi pour la première fois.

  • Taille du fichier : La taille du fichier exécutable en octets.

  • Hachage SHA1 : Un hachage cryptographique du contenu de l’exécutable. C’est sans doute la part la plus critique des métadonnées, car elle permet d’identifier définitivement un fichier, quel que soit son nom ou son emplacement.

  • Timestamps:

    • Heure de la première exécution : Souvent dérivé de la date de création d’un fichier lien correspondant ou d’un autre déclencheur système, ce horodatage indique quand le programme a été introduit pour la première fois dans le système.

    • Dernière modification temporelle : Le dernier temps de modification du fichier tel qu’enregistré dans son entrée MFT.

  • Horodatage du liaison : L’horodatage de compilation est intégré dans l’en-tête PE de l’exécutable.

  • Type binaire : Informations sur l’architecture de l’exécutable (par exemple, PE32, PE64).

  • Informations sur le produit et la version : Détails extraits du bloc de ressources de la version du fichier, tels que le nom du produit, le nom de l’entreprise et la version du fichier.

Valeur médico-légale

Amcache est un artefact exceptionnellement robuste pour prouver qu’un programme a existé et a été exécuté sur un système, même si d’autres traces ont été supprimées.

  • Persistance: Les entrées amcache persistent souvent longtemps après qu’un programme a été désinstallé ou que ses fichiers ont été supprimés du système de fichiers en ligne. Cela fournit un historique qui peut contrecarrer de simples tentatives de nettoyage.

  • Identification via le hachage : La présence du hachage SHA1 est sa plus grande force. Il permet à un analyste d’identifier un exécutable malveillant connu (en vérifiant le hachage dans des bases de données de renseignement sur les menaces comme VirusTotal) même si l’utilisateur l’a renommé en quelque chose d’anodin (par exemple, ).notACheat.exe

  • Corrélation chronologique : Bien que son dernier horodatage d’exécution ne soit pas toujours aussi fiable que Prefetch ou BAM pour localiser précisément l’activité la plus récente, ses horodatages « Première exécution » et « Dernière modification » sont inestimables pour établir quand un programme a été introduit pour la première fois dans le système et le corréler avec d’autres événements.

  • Détection de la falsification : L’Amcache est géré par des services système. Bien qu’il puisse être supprimé, son absence dans un système là où il devrait exister, ou les preuves de modifications ou suppressions récentes, peuvent indiquer une activité anti-médico-légale.

Points de réflexion (Concours SS)

Pour un ScreenSharer, Amcache est un outil puissant pour retrouver les « fantômes » des triches passées et pour identifier de manière définitive des exécutables déguisés.

  • La vérification ultime de l’ID (hachage SHA1) : C’est là la conclusion clé. Si un joueur exécute un fichier suspect nommé depuis son bureau, un SSer peut extraire son entrée Amcache et vérifier le hachage SHA1 sur VirusTotal. Si le hachage correspond à une triche connue comme Vape ou Kurium, l’affaire est close, quel que soit le nom du fichier.explorer.exe

  • Contourner les contournements de renommage : Amcache est l’une des meilleures défenses contre les contournements simples de renommage. Cela prouve que le fichier, identifié par son hachage unique, était présent sur le système.

  • Preuves historiques : Si un joueur affirme qu’il « n’a jamais utilisé cette triche », mais qu’une entrée Amcache existe à son sujet, cela fournit de solides preuves historiques du contraire. Bien que cela ne prouve pas une utilisation « en instance », il peut être crucial pour les contrôles d’évasion de bannissement ou pour renforcer le dossier lorsqu’il est combiné à d’autres artefacts plus récents.

  • Corroboration: Trouver un programme dans Amcache corrobore les résultats d’autres outils. Par exemple, si un chemin suspect est détecté dans un vidage mémoire System Informer, vérifier Amcache pour ce chemin ou le hachage du fichier peut confirmer son identité et son historique d’exécution.

PrécédentUserAssistSuivantRecentFileCache

Mis à jour