AmcacheParser Forensic tools
The Amcache.hve file is a registry file that stores the information of executed applications.
A common location for Amcache.hve is:
\%SystemRoot%\AppCompat\Programs\Amcache.hve
Export > Amcache.hve
Loading an Amcache.hve hive from a Windows 10 machine into Registry Explorer, we can see the following layout:
Registry Explorer > Open Amcache.hve
AmcacheParser searches and sorts out cache information from Microsoft Windows` Amcache.hve registry (a file that stores information about recently run applications/programs). It allows users to differentiate between file entities and program entities when searching and exporting information.
#.\AmcacheParser.exe -f "I:\Export\Amcache.hve" --csv I:\Export
20220727154302_Amcache_UnassociatedFileEntries.csv entry, which looks a bit like this:
Full Path:
Refer:
amcache-still-rules-everything-around
Amcache and Shimcache in forensic analysis
#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment