Analyse Forensic : Amcache & RecentFileCache
L’Amcache (sur Windows 8 et versions ultérieures) et son prédécesseur, le RecentFileCache (sur Windows 7), sont des artefacts cruciaux générés par le service de compatibilité des applications de Windows. Pour les analystes DFIR, ils agissent comme la “carte d’identité” des fichiers exécutables, fournissant des métadonnées telles que les chemins d’accès complets, les dates d’installation et, plus important encore, le hash SHA1 des binaires.
Objectif et mécanisme
Section intitulée « Objectif et mécanisme »Ces artefacts ne sont pas orientés vers la sécurité ; ils existent pour assurer la compatibilité des applications lors des mises à jour de Windows.
Comment ça fonctionne :
Section intitulée « Comment ça fonctionne : »- Lorsqu’un programme est exécuté, le service de compatibilité des applications extrait les métadonnées de l’en-tête du format PE (Portable Executable).
- Ces informations, qui incluent le chemin d’accès au fichier et ses empreintes cryptographiques (hashs), sont stockées dans une base de données.
- Sur les versions modernes de Windows, cette base de données correspond au fichier
Amcache.hve, qui est structuré comme une ruche du Registre (Registry Hive).
Emplacement et structure
Section intitulée « Emplacement et structure »L’emplacement de ces artefacts varie selon la version du système d’exploitation :
- Windows 8/10/11 :
- Artefact :
Amcache.hve - Chemin :
C:\Windows\appcompat\Programs\Amcache.hve - Format : Ruche du Registre (nécessite des outils d’analyse spécialisés).
- Artefact :
- Windows 7 :
- Artefact :
RecentFileCache.bcf - Chemin :
C:\Windows\AppCompat\Programs\RecentFileCache.bcf
- Artefact :
Utilité en Forensic
Section intitulée « Utilité en Forensic »L’Amcache est très complémentaire au Prefetch et auShimcache. Alors que le Prefetch fournit un historique d’exécution, l’Amcache permet d’identifier formellement le fichier.
- Identification cryptographique : le hash SHA1 permet aux analystes d’identifier de manière unique les binaires et de les corréler avec des bases de données de renseignement sur les menaces (Threat Intelligence, par ex. VirusTotal), même si le malware a été renommé.
- Vérification du Chemin : les analystes peuvent identifier des menaces dissimulées (masquerading) en comparant le chemin de l’exécutable dans l’Amcache avec son emplacement système légitime.
- Analyse Combinée (Le “Duo Gagnant”) :
- Utilisez le Prefetch pour déterminer l’horodatage des exécutions.
- Utilisez l’Amcache pour récupérer le hash SHA1 et le chemin d’accès complet.
- Combinez ces éléments pour une identification formelle d’une menace et établir une chronologie (timeline) solide.
- Traçage des Médias Amovibles : l’Amcache garde souvent la trace des programmes lancés depuis un stockage externe, ce qui aide à remonter les vecteurs d’infection physiques.
Outils d’analyse
Section intitulée « Outils d’analyse »Étant donné que ces fichiers sont des binaires ou des ruches du Registre, leur inspection manuelle n’est pas possible. Utilisez ces outils standards :
- AmcacheParser.exe (Eric Zimmerman) : l’outil de référence dans l’industrie pour extraire et analyser (parser) le fichier
Amcache.hvevers des formats CSV lisibles. - RegRipper : un outil alternatif disposant de plugins dédiés à l’analyse des ruches du Registre, y compris l’Amcache.
Détection et Threat Hunting
Section intitulée « Détection et Threat Hunting »Pour une recherche de menaces (Threat Hunting) efficace, correlez les données de l’Amcache avec :