AmcacheParser 技术文档
项目地址: https://gitcode.com/gh_mirrors/am/AmcacheParser 概述
AmcacheParser 是一款由 Eric Zimmerman 开发的命令行工具,专门用于解析 Windows 系统中的 Amcache.hve 文件。该工具的独特之处在于它不仅仅导出所有条目,而是专注于程序(Package)和文件(File)条目之间的关联性分析,仅提取来自已安装应用的相关信息,从而过滤掉不相关的文件条目。
安装指南
- 下载工具: 访问 Eric Zimmerman 的官方工具页面 EricZimmerman.github.io,或者直接下载最新的 Get-ZimmermanTools.zip。
- 自动化安装: 使用 PowerShell 环境,运行下载到的
Get-ZimmermanTools.ps1脚本,以自动下载并设置 Ez 工具集,确保你已启用执行策略以允许脚本执行 (Set-ExecutionPolicy RemoteSigned)。 - 手动安装: 解压下载的zip文件,将包含
AmcacheParser.exe的目录添加到系统环境变量的 PATH 中,以便全局访问。
项目使用说明
基本用法
AmcacheParser 需要至少指定一个 Amcache.hve 文件来解析。通过命令行提供参数来定制输出和处理逻辑。例如:
AmcacheParser.exe -f "路径\AmcacheWin10.hve" --csv "输出目录"
参数详情
- -f, --file: 必选参数,指定要解析的 Amcache.hve 文件路径。
- -i, --include: 包含程序条目及其关联的文件。
- -b, --blacklist: SHA-1哈希黑名单文件路径,排除特定文件条目。
- -w, --whitelist: SHA-1哈希白名单文件路径,仅包含指定的文件条目。
- --csv, --csvdir: 指定保存CSV结果的目录。使用
--csvf可自定义CSV文件名。 - -dt, --datetime: 自定义时间戳显示格式。
- -mp, --microtimeprint: 显示时间戳的高精度。
- -nl, --no-log, 不考虑事务日志文件对脏注册表快照的影响。
API使用文档
AmcacheParser设计为命令行界面,并无传统意义上的API接口供开发者调用。但其命令行操作可以视为一种简易接口,通过脚本或批处理文件间接调用,实现自动化处理流程。
实际案例
-
基础导出:
AmcacheParser.exe -f "C:\数据\Amcache.hve" --csv "C:\输出" -
自定义CSV文件名:
AmcacheParser.exe -f "C:\数据\Amcache.hve" --csv "C:\输出" --csvf "AmcacheReport.csv" -
使用黑白名单控制输出:
AmcacheParser.exe -f "C:\数据\Amcache.hve" -w "C:\黑名单.txt" -i -csv "C:\输出"
通过上述文档,用户应能够顺利安装、配置并使用AmcacheParser进行Amcache.hve文件的高效解析,以获得精确的程序和文件关联数据,助力于系统分析、数字取证或IT管理任务。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
