Wie würde ein Angreifer Amcache bereinigen?

Drei häufige Ansätze: Amcache.hve und seine Transaktionsprotokolle direkt löschen (laut, wird beim nächsten Appraiser-Durchlauf neu erstellt); einzelne InventoryApplicationFile-Unterschlüssel selektiv bearbeiten (subtil, erfordert Registry-Editor-äquivalenten Zugriff, während die Hive geladen ist); oder den geplanten Task Compatibility Appraiser deaktivieren, um die Hive einzufrieren (schleichend, aber das Ausbleiben neuer Einträge ist selbst ein Verräter).

Wie erkenne ich Amcache-Manipulation?

Listen Sie Volume Shadow Copies mit 'vssadmin list shadows' oder vshadowmount auf, parsen Sie Amcache.hve jeder Schattenkopie und vergleichen Sie die Einträge mit der Live-Hive. In Schatten vorhandene, aber in der Live-Hive fehlende Einträge sind Beweise für absichtliche Bereinigung. Prüfen Sie außerdem die LastRunTime des geplanten Tasks und die KeyLastWriteTimestamp-Verteilung der Hive.

Bereinigen Angreifer typischerweise Amcache?

Selten. Die meiste Commodity-Malware und sogar die meisten APT-Toolkits machen sich nicht die Mühe, Amcache zu bereinigen — es ist kein gut bekanntes Artefakt unter allgemeinen Malware-Autoren, und die Bereinigung erfordert spezifisches Windows-Internals-Wissen. Wenn Sie Anzeichen von Amcache-Manipulation sehen, behandeln Sie es als starkes Signal für einen ausgefeilteren Akteur.

Was ist der subtilste Angriff gegen Amcache?

Den Compatibility Appraiser per Group Policy (AllowTelemetry=0) oder durch Task-Deaktivierung deaktivieren. Die Hive wird nicht gelöscht — sie hört nur auf zu aktualisieren. Ein Verteidiger, der die letzte Laufzeit des Appraisers nicht spezifisch prüft, übersieht das möglicherweise vollständig.

Können Amcache-Beweise jemals endgültig zerstört werden?

Nicht zuverlässig. Selbst nach Live-Hive-Bearbeitung bewahren Volume Shadow Copies oft die Historie. Selbst nach VSS-Löschung können forensische Dateiwiederherstellung und SSD-Wear-Leveling frühere Versionen wiederherstellen. Und die Legacy-Logs DfsTrace / SetupAct / Microsoft-Windows-Application-Experience bewahren manchmal die Appraiser-Aktivität unabhängig davon.

Kann Amcache.hve von einem Angreifer gelöscht oder modifiziert werden?

Ja, ein Angreifer mit administrativen Rechten kann Amcache.hve löschen, einzelne Einträge darin bearbeiten oder den geplanten Task Compatibility Appraiser deaktivieren, der die Datei pflegt. Die Bereinigung ist jedoch über drei Mechanismen nachweisbar: Volume Shadow Copies bewahren typischerweise jüngste Snapshots der ursprünglichen Hive, Registry-Transaktionsprotokolle können jüngste Schreibvorgänge bewahren, und eine nach dem Löschen frisch wiederhergestellte Hive hat eine 'KeyLastWriteTimestamp'-Verteilung, die abrupt zur Wiederherstellungszeit beginnt, statt Monate zurückzureichen. Durch die Kombination dieser drei Quellen ist anti-forensische Amcache-Manipulation eines der zuverlässiger erkannten Angreifer-Verhalten unter Windows.

Kann Amcache von Angreifern gelöscht werden?

Ja — aber die Bereinigung ist nachweisbar. Ein Angreifer mit administrativen Rechten kann Amcache.hve löschen, einzelne Einträge darin bearbeiten oder den geplanten Task Compatibility Appraiser deaktivieren. Keine dieser Optionen ist still. Drei unabhängige forensische Quellen bewahren in der Regel den vorherigen Zustand:

Volume Shadow Copies — punktuelle Snapshots des Volumes, die von VSS angefertigt werden, typischerweise für eine bis mehrere Wochen aufbewahrt. Jeder Schatten hat seine eigene Kopie von Amcache.hve.
Registry-Transaktionsprotokolle — Amcache.hve.LOG1 und Amcache.hve.LOG2 können jüngste Schreibvorgänge bewahren, die ein Angreifer zu löschen vergessen hat.
Wiederherstellungs-Zeit-Signatur — eine nach dem Löschen frisch wiederhergestellte Hive hat eine KeyLastWriteTimestamp-Verteilung, die abrupt zur Wiederherstellungszeit beginnt, ohne Einträge, die Monate zurückreichen, wie Sie es auf einem langlebigen Host erwarten würden.

Wie Angreifer es typischerweise versuchen#

Drei Ansätze, in steigender Subtilität:

1. Hive und ihre Logs löschen#

# (Attacker action — not for defenders to run)
Remove-Item 'C:\Windows\AppCompat\Programs\Amcache.hve*' -Force

Laut. Der nächste Appraiser-Durchlauf erstellt die Hive neu — leer bis auf das, was gerade läuft. Die Wiederherstellungs- Signatur ist für jeden Verteidiger, der weiß, wonach zu suchen ist, offensichtlich.

2. Einzelne Einträge bearbeiten#

Der Angreifer lädt die Hive (z. B. als Unterbaum von HKLM) und löscht bestimmte InventoryApplicationFile-Unterschlüssel, die seinem Tooling entsprechen.

Subtiler, aber die Registry-Transaktionsprotokolle können die ursprünglichen Schreibvorgänge noch enthalten, und Volume Shadow Copies halten die Hive vor der Manipulation.

3. Den Appraiser deaktivieren#

HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection
  AllowTelemetry = REG_DWORD 0

Oder den geplanten Task unter \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser deaktivieren.

Die Hive wird nicht modifiziert — sie hört nur auf zu aktualisieren. Ein Verteidiger, der die LastRunTime des Appraisers nicht prüft, bemerkt das möglicherweise nicht.

Wie man Manipulation erkennt#

Der Verteidiger-Workflow:

Parsen Sie die Live-Amcache.hve und erfassen Sie die KeyLastWriteTimestamp-Verteilung (frühestens, spätestens, Dichte pro Woche).
Listen Sie Volume Shadow Copies auf und parsen Sie die Kopie der Hive jedes Schattens. Vergleichen Sie mit der Live-Hive.
Prüfen Sie den geplanten Task — LastRunTime, State, Verlauf.
Prüfen Sie die GPO — AllowTelemetry, verwandte DataCollection-Werte.

Eine Live-Hive mit einem KeyLastWriteTimestamp, der vor einigen Wochen abrupt endet, auf einem Host, von dem Sie wissen, dass er läuft und neue Software sieht, ist verdächtig. Vergleichen Sie mit Schatten, um zu bestätigen, was fehlt.

Für den vollständigen Anti-Forensik-Workflow siehe Wiederherstellung gelöschter Binärprogramm-Beweise aus Amcache.

Wie häufig ist das?#

Selten. Commodity-Malware und die meisten APT-Toolkits machen sich nicht die Mühe, Amcache zu bereinigen. Das Artefakt ist unter allgemeinen Malware-Autoren nicht weit bekannt, und eine effektive Bereinigung erfordert Windows-Internals-Wissen, das die meisten Akteure nicht haben.

Wenn Sie doch Anzeichen einer Amcache-Manipulation sehen, behandeln Sie es als starkes Signal für einen ausgefeilteren Akteur — und achten Sie verstärkt auf benachbarte Artefakte (ShimCache, Sysmon, EDR-Telemetrie) auf ähnliche Manipulation.