Amcache.hve, est un fichier de registre interne de Windows stockant des informations sur les programmes récemment exécutés pour faciliter la recherche et l’analyse des applications utilisées sur le système.
Localisation
%SYSTEMROOT%\AppCompat\Programs\Amcache.hve%SYSTEMROOT%\AppCompat\Programs\RecentFileCache.bcf#before_DLL_6.1.7600
Remarques
- Dans le cadre d’une investigation, l’Amcache permet de tracer l’exécution des programmes, l’utilisation de périphériques de stockage externes.
- l’Amcache contient des informations telles que les chemins d’exécution, les heures d’installation, d’exécution et de suppression, parfois le hash de certains programmes, etc…