¿Qué es Root\InventoryApplicationFile? (glosario)
Root\InventoryApplicationFile es donde realmente sucede el análisis de Amcache. Una subclave por PE que el appraiser inventarió, con los metadatos que convierten una fila de CSV en un hallazgo defendible. Si solo aprendes una clave de Amcache, que sea esta.
Está emparejada con Root\InventoryApplication (el catálogo de productos instalados) vía ProgramId. Ese emparejamiento es lo que divide la salida de AmcacheParser en los CSV Associated y Unassociated, y el CSV Unassociated es donde vive el toolkit del atacante en la mayoría de casos.
Lo que obtienes por entrada#
| Valor | Lo que te da |
|---|---|
Name |
Solo el nombre de fichero. mimikatz.exe, update.exe, ese tipo de cosas. |
LowerCaseLongPath |
Ruta completa, en minúsculas. |
FileId |
"0000" + SHA-1 de los primeros 31 MiB. |
Size |
Bytes. |
IsPeFile |
1 si es PE. |
IsOsComponent |
1 si lo trae Windows. Filtra a 0 para reducir ruido. |
Publisher / PublisherName |
CN de firma y cadena amistosa del fabricante. Vacío si no firmado. |
Version, BinFileVersion, ProductVersion |
Cadenas de versión de los recursos PE. |
ProductName |
ProductName de los recursos PE. |
LinkDate |
PE TimeDateStamp. Controlado por el atacante. |
Language |
LCID de los recursos PE. |
ProgramId |
Identidad de aplicación de 44 caracteres. Une con InventoryApplication. |
Usn |
Entrada del journal USN en el momento del inventario. |
Más el LastWriteTimestamp de la propia clave del registro, expuesto por AmcacheParser como KeyLastWriteTimestamp. Es lo más parecido a "cuándo escribió el appraiser esta entrada" y el pivote correcto para casi cualquier pregunta basada en tiempo.
El filtro de triaje que hace casi todo el trabajo#
IsPeFile = True
AND Publisher is empty
AND FullPath under \Users\, \AppData\, \ProgramData\, or \Temp\
Aplícalo a *_UnassociatedFileEntries.csv y obtienes una lista lo bastante pequeña para leerla a mano. La mayoría de filas son o malware común o el usuario instaló algo portable. Ambas se resuelven rápido.
Para el recorrido completo clave a clave, ver Estructura del registro de Amcache.
Términos relacionados#
Artículos relacionados
- ¿Qué es Amcache ProgramId? (glosario)
ProgramId es el hash de identidad de aplicación de 44 caracteres que almacena Amcache. Estable entre hosts para la misma instalación. Atrapa recompilaciones y renombrados que Hash se pierde.
- ¿Qué es LinkDate en Amcache? (glosario)
LinkDate es el PE TimeDateStamp. Controlable por el atacante. Úsalo para agrupar builds, no para líneas de tiempo de host.
- ¿Qué es KeyLastWriteTimestamp en Amcache? (glosario)
El tiempo de escritura de la clave Amcache en el Registro. Lo más cercano a 'cuándo el appraiser anotó esto'. El campo individual que los analistas nuevos confunden más a menudo con LinkDate.
- ¿Qué es Amcache FileId? (glosario)
FileId es '0000' más el SHA-1 de los primeros 31 MiB del archivo. Quita el prefijo antes de tirar a VirusTotal o no te devolverá nada en silencio.