¿Qué hace el Compatibility Appraiser?

Escanea el sistema en busca de software instalado y presente, recopila metadatos de la cabecera PE (publisher, versión, fecha de link, SHA-1 de los primeros 31 MiB) para cada archivo PE que encuentra, y escribe el inventario estructurado en Amcache.hve.

¿Con qué frecuencia corre el Compatibility Appraiser?

Aproximadamente diariamente en estaciones de trabajo Windows 10 / 11, con menos frecuencia en servidores (cada 2-5 días) y Server Core (semanalmente o más).

¿Dónde está la tarea programada Compatibility Appraiser?

Ruta del Task Scheduler: \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser. Está habilitada por defecto.

¿Se puede desactivar el Compatibility Appraiser?

Sí — vía Task Scheduler, Group Policy (DataCollection \ AllowTelemetry = 0), o valores del registro específicos del build. Desactivarlo congela Amcache.hve en el momento del desactivado; las entradas antiguas permanecen pero no se escriben nuevas entradas.

¿Es el Compatibility Appraiser parte de la telemetría de Windows?

Sí. Fue construido originalmente como parte de la infraestructura del Customer Experience Improvement Program (CEIP). El valor forense de Amcache es un efecto secundario de su pipeline de telemetría.

¿Qué es el Compatibility Appraiser? (glosario)

El Microsoft Compatibility Appraiser es una tarea programada de Windows que periódicamente recorre el sistema, inventaria el software instalado y presente, recopila metadatos de la cabecera PE para cada archivo PE, y escribe los registros en el hive del registro Amcache.hve.

Es lo único que escribe en Amcache. Si entiendes el appraiser, entiendes la cadencia, cobertura y límites de cada investigación de Amcache.

Datos clave#

Ruta de la tarea programada: \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser
Cadencia de ejecución: ~24h en estaciones de trabajo Windows 10/11; 2-5 días en Server; semanalmente o más en Server Core.
Modelo de disparador: disparadores en tiempo de inactividad más disparadores basados en tiempo con retraso aleatorio. Consciente de la energía — omite en batería.
Salida: C:\Windows\AppCompat\Programs\Amcache.hve (más los journals de transacciones .LOG1 y .LOG2).
Propósito subyacente: telemetría del Customer Experience Improvement Program (CEIP). El inventario local existe porque el appraiser tenía que saber qué enviar a Microsoft.

Implicaciones forenses#

Dos consecuencias importan para DFIR:

Amcache va por detrás de la realidad. Un binario dejado en un host puede no aparecer en Amcache durante hasta ~24 h (estación de trabajo) o varios días (servidor). Para precisión horaria del primer visto, usa Sysmon / Security 4688 / MFT en su lugar.
Desactiva el appraiser, congelas Amcache. Algunos builds hardenizados y entornos de alta seguridad desactivan el appraiser (intencionadamente o vía política CEIP). En esos hosts Amcache queda congelado en el momento del desactivado y no es un artefacto útil para eventos posteriores.

Detectar manipulación#

Señales de que el appraiser ha sido desactivado:

La tarea programada está desactivada o tiene un LastRunTime obsoleto.
La distribución de KeyLastWriteTimestamp de Amcache.hve se detiene en alguna fecha sin entradas más nuevas en un host del que esperabas actividad más reciente.
HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0.

Para el contexto investigativo más amplio, ver Referencia completa de Amcache y Recuperar evidencia de binarios borrados desde Amcache.

Términos relacionados#

Amcache.hve — el hive que escribe el appraiser.
InventoryApplicationFile — la clave estrella que el appraiser puebla.
KeyLastWriteTimestamp — la marca de tiempo de escritura del appraiser.

Para explorar un hive de Amcache sin instalar nada, suéltalo en la página de inicio del parser.

¿Qué es el Compatibility Appraiser? (glosario)

Datos clave#

Implicaciones forenses#

Detectar manipulación#

Términos relacionados#

Artículos relacionados