Was ist KeyLastWriteTimestamp in Amcache? (Glossar)
KeyLastWriteTimestamp ist der letzte Zeitpunkt, zu dem die Registry den Key geschrieben hat, der diesen Amcache-Eintrag hält. Von AmcacheParser als Spalte in jeder CSV ausgegeben. Es ist der wichtigste Zeitstempel in Amcache und der am häufigsten mit LinkDate verwechselte. Sie sind nicht dasselbe und beantworten verschiedene Fragen.
Was er darstellt#
Jeder Registry-Key hat eine Last-Write-Zeit, die von Windows selbst geschrieben wird. Wenn der Appraiser einen Eintrag unter Root\InventoryApplicationFile erstellt oder aktualisiert, rückt der Last-Write dieses Keys vor. AmcacheParser liest ihn und legt ihn als KeyLastWriteTimestamp offen.
In der Praxis:
- Inventarisiert der Appraiser eine Datei zum ersten Mal, ist der Zeitstempel die Appraiser-Lauf-Zeit, nachdem die Datei bemerkt wurde. Obergrenze für "erstmals präsent auf Platte".
- Metadatenänderungen (neuer Hash, größere Größe, geänderter Versions-String) rücken den Zeitstempel vor.
- Eine stabile Datei, deren Metadaten sich nie ändern, behält denselben Zeitstempel selbst nach vielen nachfolgenden Appraiser-Durchläufen. Es ist "zuletzt geschrieben", nicht "zuletzt gesehen".
Der letzte Punkt erwischt Leute. Eine seit zwei Jahren präsente und unveränderte Binärdatei hat einen KeyLastWriteTimestamp von vor zwei Jahren.
Die vier Zeitstempel und welcher zu nutzen ist#
| Frage | Feld |
|---|---|
| Wann hat Amcache das aufgezeichnet? | KeyLastWriteTimestamp |
| Wann wurde die Binärdatei kompiliert? | LinkDate |
| Wann landete die Datei auf der Platte? | MFT $STANDARD_INFORMATION.CreationTime |
| Wann wurde sie ausgeführt? | Prefetch-Laufzeiten |
Der Standard-Zeitfenster-Pivot#
Eine verdächtige Zeile nehmen. Ihren KeyLastWriteTimestamp nehmen. Ein Ein-Stunden-Fenster darum öffnen. Aus diesem Fenster ziehen:
- Andere Amcache-Zeilen auf demselben Host.
- Prefetch-Einträge.
- Sysmon
1(Process Create),7(Image Load),11(File Create). - Security 4688.
- MFT- und USN-Journal-Creates.
Das ist die kanonische Rekonstruktion. Fast jeder Amcache-basierte Befund läuft diesen Pivot am Ende mindestens einmal.
Für die Langform-Referenz siehe Amcache-Zeitstempel erklärt.
Verwandte Begriffe#
Verwandte Beiträge
- Was ist LinkDate in Amcache? (Glossar)
LinkDate ist der PE-TimeDateStamp. Angreiferkontrollierbar. Verwenden Sie ihn für Build-Clustering, nicht für Host-Zeitlinien.
- Was ist Amcache ProgramId? (Glossar)
ProgramId ist der 44-Zeichen-Anwendungs-Identitätshash, den Amcache speichert. Über Hosts hinweg stabil bei derselben Installation. Erwischt Neukompilierungen und Umbenennungen, wo Hash daneben liegt.
- Was ist Root\InventoryApplicationFile? (Glossar)
Der Hauptschlüssel in Amcache. Ein Unterschlüssel pro PE, das der Appraiser inventarisiert hat, mit Hash, Pfad, Hersteller, Linkdatum und einem Registry-Schreibzeitstempel. Wo 90 % der Analystenzeit verbracht werden.
- Was ist Amcache FileId? (Glossar)
FileId ist '0000' plus der SHA-1 der ersten 31 MiB der Datei. Streifen Sie das Präfix ab, bevor Sie zu VirusTotal gehen, sonst kommt still nichts zurück.