Wie sieht eine ProgramId aus?

44 Hex-Zeichen ohne Präfix und ohne Trennzeichen, oft endend auf '0000ffff' oder ähnlich, zum Beispiel 0006fa0b2a9f8a4eb9d7c81e8b1f3c5d3e2a0000ffff.

Ist ProgramId ein Hash des Binärprogramms?

Nein. ProgramId wird aus den Metadaten der Anwendung (Name, Herausgeber, Version, Sprache) berechnet, nicht aus den Bytes des Binärprogramms. Für den Inhalts-Hash verwenden Sie FileId.

Ist ProgramId über Hosts hinweg stabil?

Ja — dieselbe Anwendungsinstallation auf verschiedenen Hosts teilt typischerweise dieselbe ProgramId. Genau das macht sie für Cross-Host-Suchen wertvoll.

Ist ProgramId über Windows-Feature-Upgrades hinweg stabil?

Nicht immer. Ein Upgrade von Windows 10 21H2 auf Windows 11 22H2 kann ProgramId-Werte für dieselbe Anwendung ändern. Innerhalb eines Major-Builds ist ProgramId stabil.

Wann sollte ich über ProgramId vs. Hash pivotieren?

Verwenden Sie Hash für exakte Binärprogramm-Übereinstimmungen; verwenden Sie ProgramId für Übereinstimmungen auf Familien-Ebene (Rebuilds mit demselben Name/Publisher/Version). Für hochpräzise Cross-Host-Suchen führen Sie beide Pivots durch und behandeln ProgramId-Treffer mit nicht übereinstimmenden Hashes als verdächtig.

Was ist Amcache ProgramId? (Glossar)

ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Anders als FileId, das den Datei-Inhalt hasht, hasht ProgramId Anwendungs-Metadaten — Name, Herausgeber, Version und Sprache.

Ein typischer Wert:

0006fa0b2a9f8a4eb9d7c81e8b1f3c5d3e2a0000ffff

Zwei Eigenschaften machen ProgramId in der DFIR wertvoll:

Stabil über Hosts hinweg. Derselbe Office-365-Build auf zwei verschiedenen Workstations erhält dieselbe ProgramId.
Verknüpft Datei-Datensätze mit Anwendungs-Datensätzen. Eine Datei in Root\InventoryApplicationFile und die übergeordnete Anwendung in Root\InventoryApplication teilen den Wert.

Wie sie sich von FileId unterscheidet#

	FileId	ProgramId
Länge	41 Zeichen (`"0000"` + SHA-1)	44 Zeichen
Hasht	Erste 31 MiB der Datei-Bytes	Anwendungs-Metadaten
Pro-Binärprogramm eindeutig	Ja	Nein — Geschwister teilen sich
Pro-Host eindeutig	Nein	Nein — Cross-Host-stabil
Pivot-Nutzen	Exaktes Binärprogramm cross-host	Anwendungs-Familie cross-host

Wann ProgramId gewinnt#

Neu kompilierte Tools mit gleicher Identität. Angreifer baut seinen Loader zwischen Hosts neu — Hash unterscheidet sich, ProgramId bleibt gleich.
Umbenannte Binärprogramme. mimikatz.exe → svchost64.exe → update.exe. Wenn der Angreifer die PE-Versionsinformations- Ressource nicht gescrubbed hat, folgt ProgramId dem Binärprogramm durch die Umbenennungen.
Cross-Host-Scoping. Eine einzige verdächtige ProgramId auf einem Host wird zur Abfrage gegen die Amcache jedes anderen gesammelten Hosts. Siehe Lateral Movement und Amcache-ProgramId-Pivoting.

Wann ProgramId der falsche Pivot ist#

Living-off-the-land-Binärprogramme. net.exe, psexec.exe und certutil.exe teilen sich ProgramId über jeden Host, der sie hat. Pivotieren Sie stattdessen über die Kommandozeile.
Per-Host-Implants. Wirklich opferspezifische Malware produziert pro Host eindeutige ProgramId-Werte. Verwenden Sie für diese Verhaltensmuster (4624-Logon, Netzwerk-Indikatoren).

Für die vollständige ProgramId-Referenz siehe Amcache ProgramId erklärt.

Was ist Amcache ProgramId? (Glossar)

Wie sie sich von FileId unterscheidet#

Wann ProgramId gewinnt#

Wann ProgramId der falsche Pivot ist#

Verwandte Begriffe#

Verwandte Beiträge