AmcacheとはWindows上で最近実行されたファイルの情報を記録したレジストリ・ファイルです。RecentFileCache.bcfに代わるものとしてWindows 8で実装されました。Windows Server 2012にも実装されています。またWindows 7でもWindows Update KB2952664がインストールされている場合、サポートされます。
Amcacheは以下に配置されています。
\%SystemRoot%\AppCompat\Programs\Amcache.hve
(C:\Windows\AppCompat\Programs\Amcache.hve)
AmcacheにはWindows上で最近実行されたファイルに関する以下の情報が記録されています。
- ファイルのフルパス
- ファイルサイズ
- ファイルのタイムスタンプ
- ファイルのSHA-1ハッシュ値
- その他いろいろ
Shimcacheとの一番の違いはファイルのSHA-1ハッシュ値を記録している点です。Amcache.hveはこちらのスクリプトでパースできます。
以上。
参考URL
https://www.andreafortuna.org/cybersecurity/amcache-and-shimcache-in-forensic-analysis/
http://www.swiftforensics.com/2016/05/amcache-on-windows-7.html
