Wie oft wird Amcache aktualisiert?
Der Compatibility Appraiser aktualisiert Amcache.hve ungefähr
täglich auf Windows-10/11-Workstations, alle 2 bis 5 Tage auf
Windows Server mit Desktop Experience und wöchentlich oder
seltener auf Server Core. Der Takt kommt vom geplanten Task unter
\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser,
der Leerlauf-Trigger und zeitbasierte Trigger mit zufälliger
Verzögerung kombiniert und energiebewusst ist.
Für DFIR bedeutet das, dass Amcache der Echtzeit hinterherhängt:
| Host-Typ | Typische Verzögerung von Datei-auf-Disk bis Amcache-Eintrag |
|---|---|
| Windows-10/11-Workstation | Bis zu ~24 Stunden |
| Windows Server mit Desktop Experience | 2–5 Tage |
| Windows Server Core | Bis zu einer Woche oder mehr |
| Laptop im Modern Standby | Bis zu 36–48 Stunden |
| Akku-gebundenes Gerät | Variabel (Appraiser überspringt im Akkubetrieb) |
Ein auf einem Host abgelegtes Binärprogramm erscheint
möglicherweise erst nach diesem Fenster in Amcache. Für
stundengenaue First-Seen-Präzision verwenden Sie stattdessen
Sysmon-File-Create-Events (Event ID 11) oder
MFT-$STANDARD_INFORMATION.CreationTime. Amcache glänzt bei
„zu irgendeinem Zeitpunkt präsent" — nicht bei „in dieser exakten
Sekunde präsent".
Den Appraiser zum Laufen zwingen#
Wenn Sie schnell frisches Amcache benötigen (während einer Triage), stoßen Sie den Task an:
# Elevated PowerShell
Start-ScheduledTask `
-TaskPath '\Microsoft\Windows\Application Experience\' `
-TaskName 'Microsoft Compatibility Appraiser'
# Wait 30-60s, then check LastRunTime
Get-ScheduledTaskInfo `
-TaskPath '\Microsoft\Windows\Application Experience\' `
-TaskName 'Microsoft Compatibility Appraiser'Nach Abschluss sammeln Sie Amcache.hve und seine
Transaktionsprotokolle erneut.
Wenn der Appraiser deaktiviert ist#
Anzeichen, dass der Appraiser nicht läuft:
- Der geplante Task ist deaktiviert oder hat eine veraltete
LastRunTime. HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0(Group Policy deaktiviert CEIP / Telemetrie).- Die
KeyLastWriteTimestamp-Verteilung vonAmcache.hveendet zu einem bestimmten Datum ohne neuere Einträge.
Auf einem Host, auf dem der Appraiser deaktiviert ist, ist Amcache eingefroren. Es ist kein nützliches Artefakt für Ereignisse nach der Deaktivierungszeit. Verwenden Sie stattdessen Sysmon, EDR und das Sicherheitsereignisprotokoll.
Für die breitere Appraiser-Referenz siehe das Compatibility-Appraiser-Glossar. Für build-spezifische Takt-Details siehe Amcache auf Windows Server.
Verwandte Beiträge
- Warum ist meine Amcache.hve leer?
Drei häufige Ursachen: Der Compatibility Appraiser ist deaktiviert, der Host wurde frisch installiert oder Sie sammeln von einem Server / Server Core, auf dem der Appraiser viel seltener läuft.
- Wo ist der Amcache-Registry-Schlüssel?
Amcache ist eine eigene Hive-Datei unter C:\Windows\AppCompat\Programs\Amcache.hve — kein Schlüssel unter HKLM. Beim Laden durch Tools oder durch Windows selbst wird sie als HKLM\Amcache eingehängt.
- Was enthält Amcache.hve?
Amcache.hve enthält Inventar-Datensätze für jedes PE-Binärprogramm, jeden Treiber und jedes verbundene Gerät, das der Windows Compatibility Appraiser gesehen hat — mit SHA-1-Hashes, Pfaden, Herausgebern und Zeitstempeln.
- Was ist eine .pf-Datei vs. ein Amcache-Eintrag?
.pf-Dateien sind Windows-Prefetch-Datensätze — Beweis, dass ein Binärprogramm ausgeführt wurde, mit Run-Zeitstempeln und Listen geladener Dateien. Amcache-Einträge zeichnen Präsenz auf, mit dem SHA-1-Hash und Metadaten.