Was ist der Compatibility Appraiser? (Glossar)

Der Compatibility Appraiser ist die geplante Aufgabe, die Amcache schreibt. Sonst nichts. Wenn Sie den Appraiser verstehen, verstehen Sie Kadenz, Abdeckung und Grenzen jeder Untersuchung, die Sie auf Amcache aufbauen. Wenn nicht, werden Sie irgendwann einen Befund auf den falschen Tag datieren und es bereuen.

Was Sie wissen müssen#

  • Aufgabenpfad: \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser.
  • Kadenz: ~24 Stunden auf Windows-10/11-Workstations. 2-5 Tage auf Server mit Desktop Experience. Eine Woche oder mehr auf Server Core. Pausiert im Akkubetrieb. Zufällige Verzögerung beim Zeit-Trigger.
  • Ausgabe: C:\Windows\AppCompat\Programs\Amcache.hve plus .LOG1 und .LOG2.
  • Herkunft: Customer Experience Improvement Program. Die lokale Hive ist die Bühne für Telemetrie, die an Microsoft geht. Sie ist nebenbei ideal für DFIR.

Zwei Dinge, die das für Ihre Untersuchung bedeutet#

Erstens: Amcache hinkt der Realität hinterher. Eine auf eine Workstation abgelegte Binärdatei kann für Amcache bis zu einem Tag unsichtbar sein. Auf einem Server bis zu einer Woche. Wenn Sie Sub-Stunden-Präzision für das Erst-Gesehen brauchen, schauen Sie auf das falsche Artefakt. Verwenden Sie stattdessen Sysmon 1 / 11, Security 4688 oder die MFT und das USN-Journal.

Zweitens: Der Appraiser ist angreifbar. Gehärtete Builds, telemetrieblockierende GPOs und eine Handvoll Angreiferskripte schalten ihn ab. Die Hive verschwindet nicht. Sie friert ein. Eine Hive, deren KeyLastWriteTimestamp-Dichte drei Monate vor einem Incident abrupt abfällt, sagt Ihnen, dass der Appraiser gestoppt hat, nicht, dass nichts passiert ist.

Anzeichen dafür, dass er abgeschaltet wurde#

  • Status der geplanten Aufgabe ist Disabled, oder ihre LastRunTime entspricht dem Installationsdatum des Hosts.
  • KeyLastWriteTimestamp-Verteilung stirbt abrupt auf einem Host, von dem Sie wissen, dass er seitdem aktiv war.
  • HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0.
  • Das Ereignisprotokoll Microsoft-Windows-Application-Experience wird um dasselbe Datum still.

Für die Langform-Kontextualisierung siehe die Vollständige Amcache-Referenz und Beweise gelöschter Binärdateien aus Amcache wiederherstellen.

Verwandte Begriffe#

Verwandte Beiträge

  • Wie oft wird Amcache aktualisiert?

    Etwa täglich auf Windows-10/11-Workstations. Alle 2-5 Tage auf Servern. Wochen auf Server Core. Amcache hinkt der Realität hinterher. Planen Sie Timelines entsprechend.

  • Was ist Amcache ProgramId? (Glossar)

    ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.

  • Was ist LinkDate in Amcache? (Glossar)

    LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.

  • Was ist KeyLastWriteTimestamp in Amcache? (Glossar)

    Die Registry-Schreibzeit des Amcache-Keys. Das Nächste an 'wann der Appraiser das aufgezeichnet hat'. Das Feld, das neue Analysten am häufigsten mit LinkDate verwechseln.

Zurück zu allen Beiträgen