00x0 原理
amcache.hve是windows创建的记录可执行文件信息的注册表仓库。
路径:C:\Windows\AppCompat\Programs\Amcache.hve
记录的内容包括:文件创建时间、上次修改时间、路径、文件的SHA1和一些PE文件头信息。
从amcache.hve中我们可以分析得到用户的一些行为,如:运行主机上的程序、安装程序、运行外部设备上的程序。还可以用于分析一些具有自删除功能的恶意可执行文件。
仓库里的信息在可执行文件被删除或卸载后仍然保留。
00x1 步骤
1.1 提取文件
使用PCHunter或火绒剑等工具提取以下文件: 注意命名
C:\Windows\AppCompat\Programs\Amcache.hve
C:\Windows\AppCompat\Programs\Amcache.hve.LOG.1
C:\Windows\AppCompat\Programs\Amcache.hve.LOG.2
1.2 使用AmcacheParser工具解析
项目地址
下载地址:
https://ericzimmerman.github.io/
使用以下命令:
AmcacheParser.exe -f C:\Windows\appcompat\Programs\Amcache.hve --csv .
会导出一些csv文件,其中可以关注未关联的文件项Amcache_UnassociatedFileEntries.csv
其记录了运行主机上的程序、安装程序、运行外部设备上的程序hash。可以通过hash值结合威胁情报平台获取运行过但被删除的程序文件。
00x2 注意
SHA1值
amcache.hve仓库中记录了每个文件的SHA1值,这个信息对系统审计、恶意软件分析很有帮助。
这里重点提示一下,该SHA1值分两种情况:
1、文件尺寸小于31,457,280字节,为全文件的SHA1。
2、文件尺寸大于31,457,280字节,为前31,457,280字节的SHA1。
