À quoi ressemble un ProgramId ?

44 caractères hex sans préfixe ni délimiteur, se terminant souvent par '0000ffff' ou similaire, par exemple 0006fa0b2a9f8a4eb9d7c81e8b1f3c5d3e2a0000ffff.

ProgramId est-il un hash du binaire ?

Non. ProgramId est calculé à partir des métadonnées de l'application (nom, éditeur, version, langue), pas à partir des octets du binaire. Pour le hash du contenu, utilisez FileId.

ProgramId est-il stable entre les hôtes ?

Oui — la même installation d'application sur différents hôtes partage typiquement le même ProgramId. C'est ce qui le rend précieux pour les chasses inter-hôtes.

ProgramId est-il stable entre les mises à niveau majeures de Windows ?

Pas toujours. Passer de Windows 10 21H2 à Windows 11 22H2 peut changer les valeurs ProgramId pour la même application. Au sein d'un build majeur, ProgramId est stable.

Quand dois-je pivoter sur ProgramId vs Hash ?

Utilisez Hash pour des correspondances exactes de binaire ; utilisez ProgramId pour des correspondances au niveau de la famille (recompilations avec mêmes nom/éditeur/version). Pour des chasses inter-hôtes de haute précision, exécutez les deux pivots et traitez les correspondances ProgramId avec hashes non concordants comme suspectes.

Qu'est-ce que le ProgramId Amcache ? (glossaire)

ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Contrairement à FileId, qui hache le contenu du fichier, ProgramId hache les métadonnées de l'application — nom, éditeur, version et langue.

Une valeur typique :

0006fa0b2a9f8a4eb9d7c81e8b1f3c5d3e2a0000ffff

Deux propriétés rendent ProgramId précieux en DFIR :

Stable entre les hôtes. Le même build Office 365 sur deux postes différents obtient le même ProgramId.
Relie les enregistrements de fichiers aux enregistrements d'applications. Un fichier dans Root\InventoryApplicationFile et l'application parente dans Root\InventoryApplication partagent la valeur.

En quoi il diffère de FileId#

	FileId	ProgramId
Longueur	41 car. (`"0000"` + SHA-1)	44 car.
Hache	31 premiers Mio des octets du fichier	Métadonnées de l'application
Unique par binaire	Oui	Non — partagé entre frères
Unique par hôte	Non	Non — stable inter-hôtes
Usage de pivot	Binaire exact inter-hôtes	Famille d'application inter-hôtes

Quand ProgramId gagne#

Outils recompilés avec même identité. Un attaquant recompile son loader entre les hôtes — Hash diffère, ProgramId reste le même.
Binaires renommés. mimikatz.exe → svchost64.exe → update.exe. Si l'attaquant n'a pas effacé la ressource d'info de version PE, ProgramId suit le binaire à travers les renommages.
Cadrage inter-hôtes. Un seul ProgramId suspect sur un hôte devient une requête contre l'Amcache de tous les autres hôtes collectés. Voir Mouvement latéral et pivot ProgramId Amcache.

Quand ProgramId est le mauvais pivot#

Binaires Living-off-the-land. net.exe, psexec.exe et certutil.exe partagent le même ProgramId sur tous les hôtes qui les ont. Pivotez sur la ligne de commande à la place.
Implants par hôte. Les malwares vraiment par victime produisent des valeurs ProgramId uniques par hôte. Utilisez des modèles comportementaux (logon 4624, indicateurs réseau) pour ceux-ci.

Pour la référence complète de ProgramId, voir ProgramId Amcache expliqué.

Termes apparentés#

FileId — l'identifiant de hash de contenu.
InventoryApplicationFile — où ProgramId est stocké.
Amcache.hve — la ruche.

Qu'est-ce que le ProgramId Amcache ? (glossaire)

En quoi il diffère de FileId#

Quand ProgramId gagne#

Quand ProgramId est le mauvais pivot#

Termes apparentés#

Articles liés