Was ist der Compatibility Appraiser? (Glossar)
Der Microsoft Compatibility Appraiser ist ein geplanter
Windows-Task, der das System periodisch durchgeht, installierte
und vorhandene Software inventarisiert, PE-Header-Metadaten für
jede PE-Datei sammelt und die Datensätze in die Registry-Hive
Amcache.hve schreibt.
Er ist das Einzige, was in Amcache schreibt. Wenn Sie den Appraiser verstehen, verstehen Sie Takt, Abdeckung und Grenzen jeder Amcache-Untersuchung.
Wichtige Fakten#
- Pfad des geplanten Tasks:
\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - Laufzeit-Takt: ~24 h auf Windows 10/11-Workstations; 2–5 Tage auf Server; wöchentlich oder seltener auf Server Core.
- Trigger-Modell: Leerlauf-Trigger plus zeitbasierte Trigger mit zufälliger Verzögerung. Energiebewusst — überspringt im Akkubetrieb.
- Ausgabe:
C:\Windows\AppCompat\Programs\Amcache.hve(plus.LOG1und.LOG2-Transaktionsprotokolle). - Zugrunde liegender Zweck: Telemetrie des Customer Experience Improvement Program (CEIP). Das lokale Inventar existiert, weil der Appraiser wissen musste, was an Microsoft zu senden ist.
Forensische Implikationen#
Zwei Konsequenzen sind für DFIR wichtig:
- Amcache hängt der Realität hinterher. Ein auf einem Host abgelegtes Binärprogramm erscheint möglicherweise erst nach bis zu ~24 h (Workstation) oder mehreren Tagen (Server) in Amcache. Für stundengenaue First-Seen-Werte verwenden Sie stattdessen Sysmon / Security 4688 / MFT.
- Appraiser deaktivieren, Amcache einfrieren. Manche gehärteten Builds und Hochsicherheitsumgebungen deaktivieren den Appraiser (absichtlich oder per CEIP-Richtlinie). Auf diesen Hosts ist Amcache zum Zeitpunkt der Deaktivierung eingefroren und kein nützliches Artefakt für Ereignisse danach.
Manipulation erkennen#
Anzeichen, dass der Appraiser deaktiviert wurde:
- Der geplante Task ist deaktiviert oder hat eine veraltete
LastRunTime. - Die
KeyLastWriteTimestamp-Verteilung vonAmcache.hveendet zu einem bestimmten Datum, ohne neuere Einträge auf einem Host, von dem Sie neuere Aktivität erwartet hätten. HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0.
Für den breiteren Untersuchungskontext siehe vollständige Amcache-Referenz und Wiederherstellung gelöschter Binärprogramm-Beweise aus Amcache.
Verwandte Begriffe#
- Amcache.hve — die Hive, die der Appraiser schreibt.
- InventoryApplicationFile — der zentrale Schlüssel, den der Appraiser befüllt.
- KeyLastWriteTimestamp — der Appraiser-Schreib-Zeitstempel.
Um eine Amcache-Hive zu erkunden, ohne etwas zu installieren, ziehen Sie sie auf die Parser-Startseite.
Verwandte Beiträge
- Wie oft wird Amcache aktualisiert?
Der Compatibility Appraiser aktualisiert Amcache.hve ungefähr täglich auf Windows-10/11-Workstations, alle 2-5 Tage auf Servern und wöchentlich oder seltener auf Server Core.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Dieselbe ProgramId auf verschiedenen Hosts bedeutet dieselbe Anwendungsinstallation.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-Header-TimeDateStamp, den Amcache aufzeichnet — wann das Binärprogramm kompiliert oder gelinkt wurde, nicht wann es auf dem Host erschien.
- Was ist KeyLastWriteTimestamp in Amcache? (Glossar)
KeyLastWriteTimestamp ist die Last-Write-Zeit eines Amcache-Eintrags auf Registry-Ebene — was am nächsten daran kommt, was Amcache als 'wann der Appraiser diese Datei aufgezeichnet hat' offenlegt.