Analyse de l’AmCache

L’AmCache est une base de données spécifiques à Windows 7, 8 et 10 et leurs équivalents serveurs, qui consigne des métadonnées portant sur l’exécution de binaires et l’installation de programmes sur un système. Méconnue et objet de recherches insuffisantes, cette base constitue un artefact sous-exploité dans le cadre des investigations numériques.

Publié le 21 Janvier 2019 Mis à jour le 21 Janvier 2019

La faible notoriété de l’AmCache en fait un artefact de choix lors de recherches de compromissions évoluées, car il peut facilement être oublié par un attaquant cherchant à effacer ses traces. Bien que les données collectées dans cet artefact soient extrêmement utiles, leur interprétation correcte est rendue complexe par de nombreux cas particuliers à prendre en compte lors d’une analyse. Les travaux présentés lors de la CoRI&IN 2019 visent à réhabiliter cet artefact auprès des analystes, en fournissant une documentation de référence détaillée des cas dans lesquels une conclusion peut être tirée. S’appuyant sur des recherches existantes publiées ou sous formes d’articles de blog, les travaux présentés reposent également sur de nombreux tests effectués en laboratoire. Ces derniers ont permis de valider, corriger ou affiner les conclusions proposées dans la littérature, ainsi que de compléter de nombreuses lacunes. En particulier, l’installation d’un programme sous Windows 7 n’était jusqu’alors pas documentée, et de nombreux changements de fonctionnement de la base de données dans Windows 8 et 10 nécessitaient l’approfondissement des recherches. Ces travaux ont été présentés lors de la Conférence sur la Réponse aux Incidents et l’Investigation Numérique par Blanche Lagny, et s’accompagnent d’un rapport technique voué à servir de référence.