Woher kommt LinkDate?

Aus dem Feld IMAGE_FILE_HEADER.TimeDateStamp des PE-Binärprogramms, gesetzt vom Linker zur Link-Zeit. Amcache liest dieses Feld zur Inventarisierungszeit und speichert es als Zeichenkette.

Können Angreifer LinkDate kontrollieren?

Ja — vollständig. Der TimeDateStamp ist das, was der Linker schreibt; Angreifer können ihn auf einen beliebigen Wert setzen, auf null setzen (reproduzierbare Builds) oder vordatieren. LinkDate ist einer der am stärksten vom Angreifer kontrollierbaren Zeitstempel in der Windows-DFIR.

Soll ich LinkDate als 'wann die Datei auf diesem Host erschien' verwenden?

Nein. LinkDate ist build-seitig, nicht hostseitig. Für hostseitige Erstauftrittszeit verwenden Sie KeyLastWriteTimestamp (die Appraiser-Schreibzeit) — und auch das ist eine obere Schranke, nicht exakt.

Wofür ist LinkDate nützlich?

Zum Clustern von Binärprogrammen, die eine Build-Kampagne teilen. Sortieren Sie verdächtige Binärprogramme nach LinkDate und suchen Sie nach engen Clustern — Angreifer kompilieren ihr Toolkit oft in einer Sitzung, und Link-Zeitstempel innerhalb weniger Stunden sind ein starkes Kampagnen-Signal.

Ist LinkDate jemals null?

Ja. Reproduzierbare Builds (und einige Go-Binärprogramme) setzen den TimeDateStamp absichtlich auf null. Ein Null-LinkDate ist für sich genommen nicht verdächtig, bedeutet aber, dass LinkDate für dieses Binärprogramm keine Information enthält.

Was ist LinkDate in Amcache? (Glossar)

LinkDate ist der TimeDateStamp des PE-Headers — der Wert, den der Linker zur Build-Zeit in das Binärprogramm gestempelt hat. Amcache liest ihn aus jedem PE, das es inventarisiert, und speichert ihn als Zeichenkette im Eintrag.

Es ist kein hostseitiger Zeitstempel. Es ist das, was die Windows-DFIR einem „Binärprogramm-Fingerabdruck-Zeitstempel" am nächsten kommt, und es ist vom Angreifer kontrollierbar.

Wie es sich von KeyLastWriteTimestamp unterscheidet#

	KeyLastWriteTimestamp	LinkDate
Woher es kommt	Registry-Metadaten, geschrieben vom Appraiser	PE-Header, geschrieben vom Linker
Vom Angreifer kontrollierbar	Nein (hostseitig)	Ja (build-seitig)
Beantwortet	„Wann hat Amcache das aufgezeichnet?"	„Wann wurde dieses Binärprogramm gebaut?"
Nützlich für	Hostseitige First-Seen-Näherungen	Build-Kampagnen-Clustering
Auflösung	Sekundengenauigkeit	Sekundengenauigkeit

Diese beiden zu verwechseln ist der häufigste Amcache-Fehler überhaupt. Siehe Amcache-Zeitstempel erklärt für die vollständige Referenz.

Wofür LinkDate nützlich ist#

Build-Kampagnen-Clustering#

Sortieren Sie verdächtige Binärprogramme nach LinkDate:

Import-Csv .\HOST_amcache_UnassociatedFileEntries.csv |
  Where-Object { $_.IsPeFile -eq 'True' -and -not $_.Publisher } |
  Sort-Object LinkDate |
  Select-Object LinkDate, Hash, FullPath

Enge Cluster — 3 bis 10 Binärprogramme mit LinkDate-Werten innerhalb desselben Tages oder derselben Stunde — sind charakteristisch für eine einzelne Angreifer-Kampagne. Angreifer kompilieren häufig ihr vollständiges Toolkit in einer Sitzung, und die Build-Zeitstempel clustern.

Treiber-Alter — Warnsignale#

Für BYOVD-Untersuchungen (Bring-Your-Own-Vulnerable-Driver) sortieren Sie *_DriverBinaries.csv nach DriverTimeStamp (dem treiberseitigen LinkDate-Äquivalent). Alte-aber-signierte Treiber (2014 kompiliert, erscheinen aber heute in Amcache) sind ein starker BYOVD-Indikator.

Verifikation interner Builds#

„Unsere internen Tool-Builds linken immer montags um 03:00 UTC. Dieser hier ist Dienstag um 14:00 — untersuchen." Nützlich, um Drift im internen Build-Prozess zu erwischen.

Wofür LinkDate NICHT nützlich ist#

First-Seen-on-Host-Zeit. Verwenden Sie KeyLastWriteTimestamp.
Ankunftsreihenfolge. Zwei Binärprogramme mit demselben LinkDate sind nicht unbedingt gleichzeitig auf dem Host angekommen.
Kryptografische Identität. Viele Binärprogramme teilen sich LinkDate-Werte.