¿Qué es Root\InventoryApplicationFile? (glosario)

Root\InventoryApplicationFile es donde realmente sucede el análisis de Amcache. Una subclave por PE que el appraiser inventarió, con los metadatos que convierten una fila de CSV en un hallazgo defendible. Si solo aprendes una clave de Amcache, que sea esta.

Está emparejada con Root\InventoryApplication (el catálogo de productos instalados) vía ProgramId. Ese emparejamiento es lo que divide la salida de AmcacheParser en los CSV Associated y Unassociated, y el CSV Unassociated es donde vive el toolkit del atacante en la mayoría de casos.

Lo que obtienes por entrada#

Valor Lo que te da
Name Solo el nombre de fichero. mimikatz.exe, update.exe, ese tipo de cosas.
LowerCaseLongPath Ruta completa, en minúsculas.
FileId "0000" + SHA-1 de los primeros 31 MiB.
Size Bytes.
IsPeFile 1 si es PE.
IsOsComponent 1 si lo trae Windows. Filtra a 0 para reducir ruido.
Publisher / PublisherName CN de firma y cadena amistosa del fabricante. Vacío si no firmado.
Version, BinFileVersion, ProductVersion Cadenas de versión de los recursos PE.
ProductName ProductName de los recursos PE.
LinkDate PE TimeDateStamp. Controlado por el atacante.
Language LCID de los recursos PE.
ProgramId Identidad de aplicación de 44 caracteres. Une con InventoryApplication.
Usn Entrada del journal USN en el momento del inventario.

Más el LastWriteTimestamp de la propia clave del registro, expuesto por AmcacheParser como KeyLastWriteTimestamp. Es lo más parecido a "cuándo escribió el appraiser esta entrada" y el pivote correcto para casi cualquier pregunta basada en tiempo.

El filtro de triaje que hace casi todo el trabajo#

IsPeFile = True
AND Publisher is empty
AND FullPath under \Users\, \AppData\, \ProgramData\, or \Temp\

Aplícalo a *_UnassociatedFileEntries.csv y obtienes una lista lo bastante pequeña para leerla a mano. La mayoría de filas son o malware común o el usuario instaló algo portable. Ambas se resuelven rápido.

Para el recorrido completo clave a clave, ver Estructura del registro de Amcache.

Términos relacionados#

Artículos relacionados

Volver a todos los artículos