Beiträge mit dem Tag „glossar“

• Was ist SRUM (SRUDB.dat)? (Glossar)

  SRUM ist der Windows System Resource Usage Monitor — eine ESE-Datenbank, die pro Anwendung CPU-, Netzwerk- und I/O-Nutzung in Stunden-Buckets über 30-60 Tage aufzeichnet.

  2026-05-24

• Was ist ShimCache (AppCompatCache)? (Glossar)

  ShimCache ist ein kernelseitig gepflegter Cache in der SYSTEM-Registry-Hive, der bis zu 1024 Binärprogramme aufzeichnet, die der Windows-Loader berührt hat. Anders als Amcache.

  2026-05-24

• Was ist Amcache ProgramId? (Glossar)

  ProgramId ist der 44-stellige Anwendungs-Identitäts-Hash, den Amcache jeder logischen Anwendung zuweist. Dieselbe ProgramId auf verschiedenen Hosts bedeutet dieselbe Anwendungsinstallation.

  2026-05-24

• Was ist Windows Prefetch? (Glossar)

  Prefetch ist der Windows-Ordner mit .pf-Dateien, der jede Binärprogramm-Ausführung aufzeichnet, mit bis zu 8-10 Run-Zeitstempeln pro Binärprogramm und den Dateien, die jedes geladen hat. Der stärkste Windows-Ausführungsbeweis.

  2026-05-24

• Was ist LinkDate in Amcache? (Glossar)

  LinkDate ist der PE-Header-TimeDateStamp, den Amcache aufzeichnet — wann das Binärprogramm kompiliert oder gelinkt wurde, nicht wann es auf dem Host erschien.

  2026-05-24

• Was ist KeyLastWriteTimestamp in Amcache? (Glossar)

  KeyLastWriteTimestamp ist die Last-Write-Zeit eines Amcache-Eintrags auf Registry-Ebene — was am nächsten daran kommt, was Amcache als 'wann der Appraiser diese Datei aufgezeichnet hat' offenlegt.

  2026-05-24

• Was ist Root\InventoryApplicationFile? (Glossar)

  InventoryApplicationFile ist der zentrale Amcache-Registry-Schlüssel — ein Unterschlüssel pro PE-Binärprogramm, das vom Appraiser inventarisiert wurde, mit Pfad, SHA-1, Herausgeber, Link-Datum und Zeitstempeln.

  2026-05-24

• Was ist Amcache FileId? (Glossar)

  FileId ist der 41-stellige Identifikator, den Amcache für jede Datei speichert — '0000' + das SHA-1-Hex der ersten 31 MiB der Datei.

  2026-05-24

• Was ist DFIR-Triage? (Glossar)

  DFIR-Triage ist die schnelle Erstuntersuchung eines mutmaßlich kompromittierten Hosts, um eine Kompromittierung innerhalb von Minuten zu bestätigen oder auszuschließen. Amcache ist eines der schnellsten Triage-Artefakte unter Windows.

  2026-05-24

• Was ist der Compatibility Appraiser? (Glossar)

  Der Microsoft Compatibility Appraiser ist der geplante Windows-Task, der installierte Software inventarisiert und die Datensätze in Amcache.hve schreibt.

  2026-05-24

• Was ist BYOVD (Bring-Your-Own-Vulnerable-Driver)? (Glossar)

  BYOVD ist die Angreifer-Technik, einen legitim signierten, aber ausnutzbaren Kernel-Treiber abzulegen, um Kernel-Mode-Ausführung zu erlangen. Amcaches InventoryDriverBinary zeichnet jeden geladenen Treiber auf.

  2026-05-24

• Was ist Amcache.hve? (Glossar)

  Amcache.hve ist die Windows-Registry-Hive, die jedes PE-Binärprogramm aufzeichnet, das der Compatibility Appraiser auf dem Host inventarisiert hat — mit Hash, Pfad und Inventarisierungszeit.

  2026-05-24