Amcache.hve : Windows işletim sistemleri arasında farklı dağıtımlar bulunmaktadır, farklı dağıtımlar olmasından kaynaklı dezavantaj doğmuştur. Örnek vermek gerekirse bir program her Windows dağıtımı ile uyumlu olamamasıdır. Microsoft tarafından bu dezavantajı ortadan kaldırmak adına Amcache.hve dosyasını oluşturmuştur. Bu dosya sayesinde Windows’un farklı dağıtımları arasında program uyumluluğunu sağlayabilmektedir.
Amcache.hve dosyasının ne işe yaradığını anladıktan sonra analizimize geçebiliriz ilk olarak FTK Imager dan aldığımız imajı FTK Imager da açıyoruz şekilde gösterilen yere tıklayıp imajımızı açıyoruz.
imajımızı açtıktan sonra sanalmakineyedek.001 > Basic Data Partition > Root > Windows > Appcompat > Programs > AMCACHE.HVE yoluna gidiyoruz.
Belirtilen yola geldikten sonra Amcache.hve dosyamıza sağ tıklayıp export files kısmına tıklıyoruz ve nereye export edilmesini istiyorsak konumunu seçiyoruz.
Dosyamız başarıyla export edilmiştir. Şimdi dosyamızı açmamız lazım.
Parse etme işlemimizi Eric Zimmerman’ın toolu olan amcacheparser ile gerçekleştireceğiz.
İlk olarak cmd yi yönetici olarak çalıştıralım ve daha sonra amcacheparser toolumuzun içine gidelim.
Toolumuzun içine gittikten sonra parse etmek için gerekli komutlarımızı yazalım.
Parse etme işlemimiz tamamlandı ve masaüstümüze bir csv çıktısı oluştu.
Çıktılarımızı daha anlaşılır bir halde incelemek için Timeline Explorer ile açıcaz bunun içinde yönetici olarak çalıştırıyoruz.
Key Name : Cihaz veya konteynerin benzersiz anahtar adı. Cihazın veya konteynerin sistemdeki tanımlayıcısını belirlemek için önemlidir.
Key Last Write Timestamp : Cihaz veya konteynerin son güncellenme tarihi ve saati. Bu, cihazın veya konteynerin ne zaman değiştirildiğini veya güncellendiğini gösterir ve zamanlamaları anlaman için faydalıdır.
Primary Category : Cihazın birincil kategorisi. Cihazın hangi tür veya sınıfa ait olduğunu gösterir.
Amcache Forensics Anlatım Videosu : https://www.youtube.com/watch?v=1r1WPExceNU&t=5s