Ist KeyLastWriteTimestamp die Zeit, zu der das Binärprogramm erstmals auf dem Host erschien?

Nicht genau. Es ist die Zeit, zu der der Appraiser den Eintrag zuletzt geschrieben hat. Für ein Binärprogramm, das in dieser Hive erstmals inventarisiert wurde, ist es die Erstinventarisierungszeit. Für einen Eintrag, dessen Metadaten sich geändert haben, springt er auf die Aktualisierungszeit vor. Es ist eine obere Schranke für 'erstmals auf der Festplatte vorhanden'.

Welche Auflösung hat KeyLastWriteTimestamp?

Sekundengenauigkeit. Ziehen Sie keine Schlüsse aus Sub-Sekunden-Unterschieden.

Wie unterscheidet sich KeyLastWriteTimestamp von LinkDate?

KeyLastWriteTimestamp ist, wann der Appraiser über die Datei geschrieben hat (hostseitig, vom Angreifer nicht kontrollierbar). LinkDate ist, wann der Compiler den PE-Header zur Link-Zeit gestempelt hat (vom Angreifer kontrollierbar). Sie beantworten völlig unterschiedliche Fragen.

Kann sich der KeyLastWriteTimestamp desselben Eintrags im Laufe der Zeit ändern?

Ja. Wenn sich die Metadaten der Datei (Größe, Hash, Version) zwischen Appraiser-Läufen ändern, schreibt der Appraiser den Eintrag neu und der Zeitstempel springt vor. Wenn sich nichts ändert, bleibt der Zeitstempel stehen, auch wenn spätere Appraiser-Durchläufe bestätigen, dass die Datei noch vorhanden ist.

Was ist der Standard-Pivot für KeyLastWriteTimestamp?

Nehmen Sie den Zeitstempel, definieren Sie ein einstündiges Fenster zentriert auf ihn und verknüpfen Sie alle anderen Amcache-Zeilen, Prefetch-Einträge, Sysmon-1/7/11-Events und Security-4688-Events aus diesem Fenster. Dieser Join gibt Ihnen das vollständige Bild dessen, was rund um das Inventarereignis passiert ist.

Was ist KeyLastWriteTimestamp in Amcache? (Glossar)

KeyLastWriteTimestamp ist die Last-Write-Zeit auf Registry- Ebene des Schlüssels, der einen Amcache-Inventareintrag enthält. Es ist das, was Amcache als „wann wurde diese Datei aufgezeichnet?"- Zeitstempel am nächsten offenlegt. AmcacheParser stellt es als Spalte in jeder per-Kategorie-CSV bereit.

Es ist der wichtigste einzelne Zeitstempel in Amcache — und derjenige, den neue Analysten am häufigsten mit LinkDate (der PE-Kompilierungszeit) verwechseln, was ein völlig anderes Feld ist, das etwas völlig anderes bedeutet.

Was es repräsentiert#

Die Registry speichert eine Last-Write-Zeit für jeden Schlüssel — Metadaten, die von Windows selbst gepflegt werden. Wenn der Compatibility Appraiser einen Inventareintrag schreibt oder aktualisiert, aktualisiert Windows die Last-Write-Zeit des Schlüssels. AmcacheParser liest dieses Feld als KeyLastWriteTimestamp.

Praktisch:

Erstauftrittseinträge → KeyLastWriteTimestamp ist die Appraiser-Laufzeit, nachdem die Datei erstmals bemerkt wurde.
Aktualisierte Einträge → springt auf die jüngste Metadaten- Änderung vor (Datei wurde größer, Versionszeichenkette geändert, Hash geändert).
Unveränderte Einträge → bleibt stehen, auch wenn nachfolgende Appraiser-Durchläufe bestätigen, dass die Datei noch da ist.

Dieser letzte Punkt ist wichtig: es ist nicht „die jüngste Zeit, zu der der Appraiser diese Datei gesehen hat" — es ist „die jüngste Zeit, zu der der Appraiser über diese Datei geschrieben hat."

Häufige Verwechslungen#

Frage	Richtiges Feld
„Wann hat der Appraiser diese Datei aufgezeichnet?"	KeyLastWriteTimestamp
„Wann wurde das Binärprogramm kompiliert?"	LinkDate
„Wann wurde die Datei auf der Festplatte erstellt?"	MFT `$STANDARD_INFORMATION.CreationTime`
„Wann lief das Binärprogramm?"	Prefetch-Run-Zeitstempel

Der Standard-Zeitfenster-Pivot#

Für jede verdächtige Zeile:

Nehmen Sie ihren KeyLastWriteTimestamp.
Definieren Sie ein einstündiges Fenster zentriert auf ihn.
Ziehen Sie aus diesem Fenster: andere Amcache-Zeilen, Prefetch-Einträge, Sysmon 1 / 7 / 11, Security 4688, MFT und USN-Journal.

Die resultierende Timeline ist die kanonische „was passierte rund um dieses Inventarereignis?"-Rekonstruktion.

Für vollständige Abdeckung siehe Amcache-Zeitstempel erklärt.

Was ist KeyLastWriteTimestamp in Amcache? (Glossar)

Was es repräsentiert#

Häufige Verwechslungen#

Der Standard-Zeitfenster-Pivot#

Verwandte Begriffe#

Verwandte Beiträge