Saturday, August 13, 2022

AmcacheParser Forensic tools

AmcacheParser Forensic tools

The Amcache.hve file is a registry file that stores the information of executed applications.

A common location for Amcache.hve is:
\%SystemRoot%\AppCompat\Programs\Amcache.hve

Export >  Amcache.hve

AmcacheParser

Amcache.hve


Loading an Amcache.hve hive from a Windows 10 machine into Registry Explorer, we can see the following layout:
Registry Explorer > Open  Amcache.hve

Registry Explorer

Registry Explorer

Amcache.hve
AmcacheParser

AmcacheParser searches and sorts out cache information from Microsoft Windows` Amcache.hve registry (a file that stores information about recently run applications/programs). It allows users to differentiate between file entities and program entities when searching and exporting information.

AmcacheParser Forensic tools


AmcacheParser

#.\AmcacheParser.exe -f "I:\Export\Amcache.hve" --csv I:\Export
AmcacheParser

Export to csv file.
AmcacheParser

20220727154302_Amcache_UnassociatedFileEntries.csv  entry, which looks a bit like this:

AmcacheParser

Full Path:
AmcacheParser Forensic tools




Refer:

amcache-still-rules-everything-around

EricZimmerman

Amcache and Shimcache in forensic analysis


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ


No comments:

Post a Comment