Welche Windows-Versionen zeichnen DLLs in Amcache auf?

Windows 10 Build 1709 und später sowie alle Windows-11-Versionen. Frühere Builds verwenden das Legacy-Schema, das spärlicher ist; einige zeichneten DLLs auf, andere nicht.

Werden Kernel-Mode-DLLs (.sys-Treiber) aufgezeichnet?

Ja, aber in einem anderen Schlüssel — Root\InventoryDriverBinary, nicht InventoryApplicationFile. Treiber-Datensätze haben zusätzliche Felder wie DriverIsKernelMode, DriverSigned und DriverTimeStamp.

Zeichnet Amcache jede von jedem Prozess geladene DLL auf?

Nein. Amcache zeichnet DLLs auf, die der Compatibility Appraiser inventarisiert hat — d. h. DLLs, die zur Scan-Zeit in gescannten Pfaden vorhanden sind. Es verfolgt keine DLL-Loads pro Prozess. Verwenden Sie dafür Sysmon Event ID 7 (Image Loaded).

Wie unterscheide ich DLLs von EXEs in der Amcache-CSV?

Verwenden Sie die Spalte FileExtension oder filtern Sie auf Name endend mit '.dll'. Beide haben das Flag IsPeFile=True; die Unterscheidung liegt im Dateinamen.

Kann ich über einen DLL-Hash mit Amcache pivotieren?

Ja — genau wie bei einem EXE. Nehmen Sie die Spalte Hash (den SHA-1, ohne das '0000'-Präfix von FileId) und verwenden Sie ihn für VirusTotal-Lookups oder Cross-Host-Suchen. Für Sysmon-Korrelation verknüpfen Sie mit dem Feld Hashes von Event ID 7.

Zeichnet Amcache.hve DLLs auf?

Ja — auf Windows 10 Build 1709 (Fall Creators Update, Oktober 2017) und später zeichnet Amcaches Root\InventoryApplicationFile sowohl EXEs als auch DLLs auf, die als PE-Dateien klassifiziert sind. Jeder DLL-Eintrag hat dieselben Felder wie ein EXE-Eintrag: vollständiger Pfad, SHA-1-Hash der ersten 31 MiB, Herausgeber, Version, Link-Datum, ProgramId und KeyLastWriteTimestamp. Pre-1709-Windows-10-Builds und Windows 8.1 verwenden das Legacy-Schema, das spärlicher ist und DLLs möglicherweise nicht konsistent aufzeichnet.

Zeichnet Amcache DLLs auf?

Ja — auf Windows 10 Build 1709 (Oktober 2017) und später. Der Schlüssel Root\InventoryApplicationFile zeichnet sowohl EXEs als auch DLLs auf, die der Compatibility Appraiser als PE-Dateien klassifiziert, mit demselben Schema für beide: vollständiger Pfad, SHA-1-Hash, Herausgeber, Version, Link-Datum, ProgramId und KeyLastWriteTimestamp.

Frühere Windows-Builds verwendeten das Legacy-Schema (Root\File und Root\Programs), das spärlicher und bei DLLs inkonsistent war. Für jede moderne Windows-10/11-Untersuchung gehen Sie von DLL-Abdeckung aus.

Wie man DLLs in der CSV findet#

In *_UnassociatedFileEntries.csv und *_AssociatedFileEntries.csv von AmcacheParser:

Import-Csv .\HOST_amcache_UnassociatedFileEntries.csv |
  Where-Object { $_.Name -like '*.dll' } |
  Select-Object FullPath, Hash, KeyLastWriteTimestamp, Publisher

Oder filtern Sie nach BinaryType — DLLs tauchen oft als pe32 oder pe64 mit .dll-Erweiterung auf.

DLL-Loads pro Prozess vs. Amcache-DLL-Datensätze#

Das sind sehr unterschiedliche Signale:

	Amcache-DLL-Datensatz	Sysmon 7 (Image Loaded)
Ausgelöst durch	Appraiser-Inventar-Durchlauf	Jeder Prozess-Load der DLL
Häufigkeit	~Täglich	Echtzeit
Zeichnet Prozesskontext auf?	Nein	Ja
Zeichnet Load-Zeit auf?	Nur Inventarzeit	Load-Zeit pro Prozess
Cross-Prozess-Sichtbarkeit?	Nein	Ja — pro Prozess

Für Untersuchungen, die sich darauf konzentrieren, welcher Prozess welche DLL geladen hat, ist Sysmon Event ID 7 das richtige Artefakt. Für Untersuchungen, die sich darauf konzentrieren, ob diese DLL auf diesem Host präsent war, ist Amcache das richtige Artefakt. Die Kombination — Verknüpfung von Amcache Hash mit Sysmon 7 Hashes — gibt Ihnen das vollständige Bild der DLL-Seite.

DLL-seitige Angriffe, die Amcache erkennt#

DLL-Sideloading. Vom Angreifer abgelegte DLL neben einer legitimen EXE, die sie lädt. Die Angreifer-DLL erscheint in *_UnassociatedFileEntries.csv mit einem ungewöhnlichen Pfad und leerem Publisher.
Gehijackte System-DLLs. Derselbe FullPath erscheint zweimal mit unterschiedlichen Hash-Werten über zwei KeyLastWriteTimestamp-Momente hinweg — die DLL an diesem Pfad hat sich geändert. Starker Indikator für Binärprogramm-Ersatz.
Reflective-Load-Köder. Die Köder-DLL (die auf der Disk) erscheint in Amcache. Die tatsächlich geladene Version ist nur im Speicher und wird nicht in Amcache auftauchen — aber Sysmon Event ID 7 erfasst den Load.

Für den vollständigen DLL-bezogenen Untersuchungs-Workflow siehe Commodity-Malware mit Amcache jagen.

Was Amcache nicht erfasst#

Nur aus dem Speicher geladene DLLs. Reflective Loader (Cobalt Strike, Sliver, Metasploit Meterpreter) laden DLLs aus Puffern, nicht von der Disk. Diese DLLs berühren möglicherweise nie eine Datei, die der Appraiser scannen kann.
DLLs in Pfaden, die der Appraiser nicht scannt. Manche benutzerdefinierten Pfade fallen außerhalb des Standardbereichs des Appraisers.
Load-Kontext pro Prozess. Amcache sagt nicht, welcher Prozess die DLL geladen hat — verwenden Sie Sysmon 7.

Verwandt#

Amcache-Registry-Struktur — wo DLL-Einträge leben.
Amcache FileId erklärt — das Hash-Format der DLL.
Commodity-Malware mit Amcache jagen — das DLL-seitige Triage-Playbook.