Was ist Root\InventoryApplicationFile? (Glossar)

Root\InventoryApplicationFile ist der Ort, an dem die Amcache-Analyse tatsächlich stattfindet. Ein Unterschlüssel pro PE, das der Appraiser inventarisiert hat, mit den Metadaten, die eine Zeile in einer CSV in einen verteidigbaren Befund verwandeln. Wenn Sie nur einen Amcache-Schlüssel lernen, lernen Sie diesen.

Er ist mit Root\InventoryApplication (dem Katalog installierter Produkte) über ProgramId gepaart. Diese Paarung teilt die Ausgabe von AmcacheParser in die CSVs Associated und Unassociated auf, und die Unassociated-CSV ist der Ort, an dem in den meisten Fällen das Angreifer-Tooling lebt.

Was Sie pro Eintrag erhalten#

Wert Was er Ihnen gibt
Name Nur Dateiname. mimikatz.exe, update.exe, diese Art von Sachen.
LowerCaseLongPath Vollständiger Pfad, kleingeschrieben.
FileId "0000" + SHA-1 der ersten 31 MiB.
Size Bytes.
IsPeFile 1, wenn es PE ist.
IsOsComponent 1, wenn von Windows mitgeliefert. Filtern Sie auf 0, um Rauschen zu reduzieren.
Publisher / PublisherName Signatur-CN und freundlicher Herstellerstring. Leer für unsignierte.
Version, BinFileVersion, ProductVersion Versionsstrings aus den PE-Ressourcen.
ProductName ProductName aus den PE-Ressourcen.
LinkDate PE-TimeDateStamp. Angreiferkontrolliert.
Language LCID aus den PE-Ressourcen.
ProgramId 44-stellige Anwendungsidentität. Verbindet mit InventoryApplication.
Usn USN-Journal-Eintrag zum Zeitpunkt der Inventarisierung.

Plus der eigene LastWriteTimestamp des Registry-Schlüssels, von AmcacheParser als KeyLastWriteTimestamp ausgegeben. Das ist das Nächste an „Wann hat der Appraiser diesen Eintrag geschrieben?" und der richtige Pivot für fast jede zeitbasierte Frage.

Der Triage-Filter, der die meiste Arbeit erledigt#

IsPeFile = True
AND Publisher is empty
AND FullPath under \Users\, \AppData\, \ProgramData\, or \Temp\

Wenden Sie das auf *_UnassociatedFileEntries.csv an und Sie erhalten eine Liste, die klein genug ist, um sie von Hand zu lesen. Die meisten Zeilen sind entweder Commodity-Malware oder der Nutzer hat etwas Portables installiert. Beides ist schnell aufzulösen.

Für die vollständige Schlüssel-für-Schlüssel-Tour siehe Amcache-Registry-Struktur.

Verwandte Begriffe#

Verwandte Beiträge

  • Was ist Amcache ProgramId? (Glossar)

    ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.

  • Was ist LinkDate in Amcache? (Glossar)

    LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.

  • Was ist KeyLastWriteTimestamp in Amcache? (Glossar)

    Die Registry-Schreibzeit des Amcache-Keys. Das Nächste an 'wann der Appraiser das aufgezeichnet hat'. Das Feld, das neue Analysten am häufigsten mit LinkDate verwechseln.

  • Was ist Amcache FileId? (Glossar)

    FileId ist '0000' plus der SHA-1 der ersten 31 MiB der Datei. Streifen Sie das Präfix ab, bevor Sie zu VirusTotal gehen, sonst kommt still nichts zurück.

Zurück zu allen Beiträgen