Amcache unter Windows Server: Kadenz, Abdeckung und Eigenheiten
Amcache unter Windows Server verwendet dasselbe Hive-Format und
dasselbe Inventory*-Schema wie Windows 10 / 11 (behandelt in
Amcache unter Windows 11). Die
Unterschiede liegen in Kadenz, Abdeckung und Betriebskontext —
nichts davon ändert, wie Sie parsen, aber alles davon ändert, wie
Sie über die Daten argumentieren.
Diese Seite ist die Server-spezifische Referenz für DFIR-Analysten, die an Server 2016, 2019, 2022, 2025 und den entsprechenden Server-Core-Editionen arbeiten.
Für die breitere Artefakt-Referenz siehe die vollständige Amcache-Referenz. Für den Pfad- und Sammel-Workflow auf jedem Windows siehe Wo Amcache.hve auf der Festplatte liegt.
Was gleich ist#
Unter Windows Server 2016 und neuer bekommen Sie:
- Den gleichen Dateipfad:
C:\Windows\AppCompat\Programs\Amcache.hve+.LOG1+.LOG2. - Das gleiche
Inventory*-Schema wie Windows 10 1709+ / Windows 11. - Dasselbe
AmcacheParser.exeerzeugt dieselben CSV-Kategorien. - Dieselben Triage-Filter gelten (unsigniertes PE in benutzerbeschreibbarem Pfad usw.).
Sie können dieselben Playbooks, Abfragen und Tools verwenden.
Hostübergreifende Pivots, die in
Lateral Movement und Amcache-ProgramId-Pivoting
beschrieben sind, funktionieren ohne Änderung über gemischte
Workstation-+-Server-Umgebungen.
Was anders ist#
Appraiser-Kadenz ist langsamer#
Der geplante Task Compatibility Appraiser läuft auf Servern seltener als auf Workstations. Typische Intervalle:
- Workstation (Windows 10 / 11): ~24 h.
- Server mit Desktop Experience: 2–5 Tage zwischen Läufen.
- Server Core: wöchentlich oder länger; manchmal nur bei Richtlinien-Trigger.
Die Konsequenz: Die KeyLastWriteTimestamp-Präzision auf einer
Server-Hive ist lockerer als auf einer Workstation-Hive. Das
erste Erscheinen eines Binärprogramms in Amcache kann seinem
ersten Erscheinen auf der Festplatte um mehrere Tage hinterherhinken.
Für Untersuchungen, die stundengenaue First-Seen-Zeiten brauchen,
greifen Sie auf Sysmon / Security 4688 / MFT-Zeitstempel zurück.
Weniger interaktive Aktivität → kleinere Hives#
Eine typische Server-Hive ist kleiner als eine Workstation-Hive desselben Alters:
- Wenige oder keine
\Users\<x>\AppData\...-Einträge — Server-Konten melden sich selten interaktiv an. - Weniger Ad-hoc-Binärprogramme — Produktionsserver führen ein stabiles Set von Diensten aus.
- Treiber- und Geräteeinträge sind stabil (Server verbinden selten neue USB- / Bluetooth-Geräte).
Größen:
| Servertyp | Typische Hive-Größe (1 Jahr) |
|---|---|
| Server Core (Produktion) | 2–6 MB |
| Server mit Desktop Experience (Produktion) | 4–10 MB |
| Server mit Desktop Experience (Jumphost, Admin-RDP) | 10–25 MB |
| Domain Controller | 4–12 MB |
Ein Jumphost — ein Server, in den Admins für domänenübergreifende Arbeit per RDP einsteigen — sieht eher wie eine Workstation aus als wie ein Server: viel interaktive Aktivität, viel administratives Tooling, viele Ad-hoc-Downloads. Das sind in den meisten Untersuchungen auch die wertvollsten Server-Hives.
Weniger LOLBIN-Rauschen, mehr LOLBIN-Signal#
Server führen ein enges Set von LOLBINs aus (net.exe, wmic.exe,
schtasks.exe, PowerShell). Jede ungewöhnliche LOLBIN-Ausführung
auf einem Produktionsserver sticht heraus. Triage-Filter können
enger sein:
Import-Csv .\SERVER01_amcache_AssociatedFileEntries.csv |
Where-Object {
$_.FullPath -match '\\System32\\(net|wmic|schtasks|certutil|bitsadmin|regsvr32)\.exe$'
}Wenn das Binärprogramm in Amcache erscheint und der
KeyLastWriteTimestamp aktuell ist, querverweisen Sie mit
Security 4688 für die tatsächliche Kommandozeilen-Ausführung. Auf
einem Server ist jede Kommandozeilen-Nutzung dieser Tools einen
Blick wert.
Server-Core-Besonderheiten#
Server Core (ohne Desktop Experience) ist der schlankere Installationsmodus, der für Produktions-Workloads verwendet wird, bei denen Admin-Zugriff über PowerShell-Remoting oder die Management-UIs erfolgt. Eigenheiten:
Noch langsamerer Appraiser#
Server-Core-Appraiser-Intervalle von einer Woche oder mehr sind normal. Eine Hive, die seit zwei Wochen nicht aktualisiert wurde, ist nicht notwendigerweise Sabotage.
Keine interaktiven Startmenü- / Verknüpfungsdaten#
InventoryApplicationShortcut ist dünn besiedelt oder leer — es
gibt kein Startmenü zu inventarisieren. Pivotieren Sie nicht auf
Verknüpfungsdaten auf Server Core.
Stark gehärtete / abgeschottete Installationen#
Einige gehärtete Server-Core-Builds deaktivieren den Appraiser
vollständig. Auf diesen ist Amcache eingefroren zur
Installationszeit oder kurz danach. Prüfen Sie den geplanten Task
des Appraisers und den Registry-Wert
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\AmcacheUpdater\DisableScheduled
(Name variiert je nach Build) zur Bestätigung.
Wenn der Appraiser absichtlich deaktiviert ist, ist Amcache auf diesem Host kein nützliches Artefakt. Greifen Sie auf Sysmon, EDR und die regulären Windows-Ereignisprotokolle zurück.
Gehärtete / Nicht-CEIP-Server#
Einige Organisationen deaktivieren das Customer Experience Improvement Program (CEIP) und damit verbundene Telemetrie auf Produktionsservern per Richtlinie. Der Appraiser ist Teil dieser Telemetrie-Infrastruktur; CEIP zu deaktivieren deaktiviert oft den Appraiser als Nebeneffekt.
Anzeichen, dass der Appraiser deaktiviert wurde:
Amcache.hveexistiert, hat aber eineKeyLastWriteTimestamp-Verteilung, die zur Installationszeit- ein paar Tage stoppt, ohne neuere Einträge.
- Die Hive ist klein (<2 MB auf einem lang laufenden Server).
- Der geplante Task
\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiserist deaktiviert oder hat eineLastRunTime, die dem Installationsdatum entspricht. HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetryist per GPO auf0gesetzt.
Auf diesen Hosts ist Amcache nicht das richtige Artefakt. Verwenden Sie:
- Sysmon für Echtzeit-Prozess-, Datei- und Netzwerk-Telemetrie (sofern es deployed ist).
- Security-Ereignisprotokoll mit Kommandozeilen-Auditing
aktiviert (4688 mit
ProcessCmdLine). - PowerShell-Operational-Log für Skriptausführung.
- EDR für Binärinventar und Ausführung.
Domain Controllers#
DCs sind ein Sonderfall, der mit besonderer Sorgfalt behandelt werden sollte:
- Sie sind Server, also gelten alle Server-Kadenz-Vorbehalte.
- Sie sind die wertvollsten Ziele in jeder Umgebung, sodass jeder Amcache-Eintrag, der auf ein unbekanntes Binärprogramm zeigt, sofortige Triage verdient.
- Viele Organisationen schränken die interaktive Anmeldung an DCs
ein, sodass das Vorhandensein jeder
\Users\<admin>\AppData\...-Zeile auf einem DC an sich ungewöhnlich ist und unabhängig vom Hash des Binärprogramms untersucht werden sollte.
Ein nützlicher Baseline-Filter für DCs:
Import-Csv .\DC01_amcache_UnassociatedFileEntries.csv |
Where-Object {
$_.FullPath -match '\\Users\\' -and
$_.IsPeFile -eq 'True'
}Jedes nicht-leere Ergebnis auf einem DC rechtfertigt direkte Aufmerksamkeit.
RDS- / Citrix- / Mehrbenutzer-Session-Hosts#
Remote-Desktop-Session-Hosts und Citrix-Server sind aus Amcache-Sicht die workstation-ähnlichsten Server:
- Viele Benutzerprofile → viele
\Users\-Pfade zum Triagieren. - Viel interaktive Aktivität → viel Inventar-Churn.
- Häufig als Jumphosts und Pivot-Punkte verwendet.
Auf diesen behandeln Sie die Hive wie eine Workstation-Hive — aber mit der langsameren Appraiser-Kadenz im Hinterkopf. Der Filter „unsigniertes PE in benutzerbeschreibbarem Pfad" ist der produktivste Startpunkt.
Cluster- / Failover-Szenarien#
Beim Windows-Server-Failover-Clustering hat jeder Knoten seine
eigene Amcache.hve. Sammeln Sie von jedem Knoten — ein
Binärprogramm, das auf einem Cluster-Knoten erschien, ist
möglicherweise nicht auf anderen erschienen, besonders wenn der
Angreifer nur einen kompromittierte.
Für Untersuchungen an hochverfügbaren Diensten (SQL AlwaysOn,
Exchange DAG, Hyper-V-Cluster) ist die Amcache pro Knoten Teil
des Standard-Sammelsets neben dem Cluster-Log (Get-ClusterLog)
und den anwendungsseitigen Protokollen.
Schnelle Entscheidungstabelle#
| Servertyp | Amcache verwenden? | Anmerkungen |
|---|---|---|
| Produktions-App-Server (stabil) | Ja | Langsamere Kadenz; sehr niedrige FP-Rate; jeder Treffer ist bedeutsam. |
| Datenbank / DC | Ja, mit Sorgfalt | Hosts mit besonderer Aufmerksamkeit; enger Filter auf Benutzerpfade. |
| Jumphost / RDS / Citrix | Ja — primär | Wertvollste Server-Hive; wie Workstation behandeln. |
| Gehärteter Server Core (CEIP aus) | Nein | Hive eingefroren; verwenden Sie stattdessen Sysmon / EDR. |
| Failover-Cluster-Knoten | Ja — alle Knoten sammeln | Pro-Knoten-Analyse; kreuzkorrelieren. |
Siehe auch#
- Vollständige Amcache-Referenz — das Artefakt vollständig.
- Amcache unter Windows 11 und Windows 10 — Desktop-Pendant mit build-by-build Schema-Notizen.
- Wo Amcache.hve auf der Festplatte liegt — Sammelmuster für jedes Windows.
- Amcache für die Malware-Untersuchung — das Workstation-Playbook (funktioniert auch auf Jumphosts / RDS).
- Lateral Movement und Amcache-
ProgramId-Pivoting — hostübergreifende Pivots über gemischte Workstation-+-Server- Bestände.
Um eine Server-Hive ohne Installation zu erkunden, legen Sie die Datei auf der Startseite des Parsers ab — sie parst vollständig in Ihrem Browser.
Verwandte Beiträge
- Volatility und Amcache: die Hive aus Speicherabbildern extrahieren
Ein praktischer Leitfaden zur Wiederherstellung von Amcache aus einem Windows-Speicherabbild mit Volatility — wann speicherseitige Wiederherstellung die einzige Option ist, welche Plugins zu verwenden sind und wie an AmcacheParser übergeben wird.
- RegRipper amcache-Plugin: was es tut und wann man es verwendet
Ein praktischer Leitfaden zum amcache-Plugin von RegRipper — was es parst, wie sich seine Text-Ausgabe von AmcacheParsers CSV unterscheidet und wann man darauf zurückgreift statt (oder zusätzlich zum) Zimmerman-Tool.
- AmcacheParser-Ausgabespalten erklärt: jedes CSV-Feld dekodiert
Eine Feld-für-Feld-Referenz für die CSV-Ausgabe von AmcacheParser — FileId, PathHash, ProgramId, LinkDate, BinFileVersion, IsPeFile und jede andere Spalte, mit den Pivots, die in DFIR zählen.
- AmcacheParser-Download-Leitfaden: offizielle Quellen, Mirrors und Verifizierung
Alle Wege, AmcacheParser von Eric Zimmerman herunterzuladen — Get-ZimmermanTools, direkter Download, KAPE, Velociraptor — mit Prüfsummen-Verifizierung und Air-Gap-Installationsmustern.