Was ist Root\InventoryApplicationFile? (Glossar)
Root\InventoryApplicationFile ist der zentrale Registry-
Schlüssel innerhalb von Amcache.hve. Er enthält einen
Unterschlüssel pro PE-Binärprogramm, das der Compatibility
Appraiser inventarisiert hat, mit reichhaltigen Metadaten pro
Eintrag: vollständiger Pfad, SHA-1, Herausgeber, Version,
Link-Datum und Inventar-Zeitstempel.
Dies ist der Schlüssel, in dem DFIR-Analysten 90 % ihrer
Amcache-Zeit verbringen. Zusammen mit Root\InventoryApplication
beantwortet er die kanonische Amcache-Frage: „War dieses
Binärprogramm jemals auf diesem Host vorhanden und was ist es?"
Bemerkenswerte Werte pro Eintrag#
| Wert | Bedeutung |
|---|---|
Name |
Nur der Dateiname (z. B. mimikatz.exe). |
LowerCaseLongPath |
Vollständiger Pfad, in Kleinbuchstaben. |
FileId |
"0000" + SHA-1-Hex der ersten 31 MiB. |
Size |
Dateigröße in Bytes. |
IsPeFile |
1, wenn die Datei eine PE-Datei ist. |
IsOsComponent |
1, wenn Teil von Windows selbst. |
Publisher / PublisherName |
Herausgeber-Zeichenketten. |
Version / BinFileVersion / ProductVersion |
Versions-Zeichenketten. |
ProductName |
PE-Ressource ProductName. |
LinkDate |
PE-TimeDateStamp. |
Language |
PE-Ressource Sprach-ID. |
ProgramId |
44-stelliger Anwendungs-Identitäts-Hash. |
Usn |
USN-Journal-Eintrag zur Inventarisierungszeit. |
Plus den KeyLastWriteTimestamp auf Registry-Ebene (kein
Wert; die Last-Write-Metadaten des Registry-Schlüssels selbst) —
was dem am nächsten kommt, was Amcache als „wann hat der Appraiser
das aufgezeichnet?" offenlegt.
Warum Analysten sich dafür interessieren#
InventoryApplicationFile ist die einzige reichhaltigste
Windows-Quelle für Nach-Löschungs-Datei-Beweise. Ein Wiper kann
die Datei von der Festplatte entfernen; der Eintrag bleibt für
Monate in der Hive bestehen. Die Kombination aus Hash + Pfad +
Herausgeber + Inventarzeit reicht aus, um ein Binärprogramm zu
identifizieren, gegen VirusTotal zu prüfen und einzugrenzen, wann
es auf dem Host erschien — alles ohne das Binärprogramm selbst.
Triage-Filter#
Der Standard-„ist das verdächtig?"-Filter, der auf die AmcacheParser-CSV dieses Schlüssels angewendet wird:
IsPeFile = True
AND Publisher is empty
AND FullPath is under \Users\, \AppData\, \ProgramData\, or \Temp\
Dieser einzige Filter zeigt die überwiegende Mehrheit der Commodity-Malware-Artefakte auf einem typischen infizierten Host.
Für die vollständige Tour durch die Registry-Struktur siehe Amcache-Registry-Struktur.
Verwandte Begriffe#
- Amcache.hve — die Hive.
- FileId — der Inhalts-Hash pro Eintrag.
- ProgramId — die Anwendungs-Identität pro Eintrag.
- KeyLastWriteTimestamp — der Inventarzeit-Pivot.
- LinkDate — das PE-Kompilierungs- Zeitstempel-Feld.
Verwandte Beiträge
- Wo ist der Amcache-Registry-Schlüssel?
Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Dieselbe ProgramId auf verschiedenen Hosts bedeutet dieselbe Anwendungsinstallation.
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-Header-TimeDateStamp, den Amcache aufzeichnet — wann das Binärprogramm kompiliert oder gelinkt wurde, nicht wann es auf dem Host erschien.
- Was ist KeyLastWriteTimestamp in Amcache? (Glossar)
KeyLastWriteTimestamp ist die Last-Write-Zeit eines Amcache-Eintrags auf Registry-Ebene — was am nächsten daran kommt, was Amcache als 'wann der Appraiser diese Datei aufgezeichnet hat' offenlegt.