¿Cuándo se introdujo InventoryApplicationFile?

Windows 10 build 1709 (Fall Creators Update, octubre de 2017). Versiones anteriores de Windows usaban el schema legado Root\Programs y Root\File en su lugar.

¿Qué valores contiene cada subclave de InventoryApplicationFile?

Name, LowerCaseLongPath, FileId (SHA-1), Size, IsPeFile, IsOsComponent, Publisher, Version, BinFileVersion, BinProductVersion, ProductName, ProductVersion, LinkDate, Language, Usn, ProgramId y el KeyLastWriteTimestamp a nivel del registro.

¿Cuál es la diferencia entre entradas Associated y Unassociated?

Las entradas Associated están vinculadas a un registro padre InventoryApplication vía ProgramId — típicamente productos instalados. Las entradas Unassociated no tienen un registro de aplicación coincidente, que es donde típicamente aparecen los binarios descargados ad-hoc, el tooling del atacante y los scripts ocasionales.

¿Cuántas entradas de InventoryApplicationFile son típicas?

Cientos a miles en una estación de trabajo típica Windows 10/11. Los servidores tienden a tener cientos; las estaciones de desarrollo pueden superar las 10.000.

¿InventoryApplicationFile registra DLLs?

Sí en schemas modernos (Windows 10 1709+). Registra tanto EXEs como DLLs que el appraiser clasifica como archivos PE.

¿Qué es Root\InventoryApplicationFile? (glosario)

Root\InventoryApplicationFile es la clave principal del registro dentro de Amcache.hve. Contiene una subclave por cada binario PE que el Compatibility Appraiser ha inventariado, con metadatos ricos por entrada: ruta completa, SHA-1, publisher, versión, fecha de link y marca de tiempo de inventario.

Esta es la clave en la que los analistas DFIR pasan el 90% de su tiempo con Amcache. Junto con Root\InventoryApplication, responde la pregunta canónica de Amcache: "¿estuvo este binario alguna vez presente en este host, y qué es?"

Valores notables por entrada#

Valor	Significado
`Name`	Solo nombre de archivo (p. ej. `mimikatz.exe`).
`LowerCaseLongPath`	Ruta completa, en minúsculas.
`FileId`	`"0000"` + SHA-1 hex de los primeros 31 MiB.
`Size`	Tamaño del archivo en bytes.
`IsPeFile`	`1` si el archivo es un PE.
`IsOsComponent`	`1` si es parte de Windows.
`Publisher` / `PublisherName`	Cadenas del publisher.
`Version` / `BinFileVersion` / `ProductVersion`	Cadenas de versión.
`ProductName`	ProductName del recurso PE.
`LinkDate`	PE `TimeDateStamp`.
`Language`	ID de idioma del recurso PE.
`ProgramId`	Hash de identidad de aplicación de 44 caracteres.
`Usn`	Entrada del journal USN en el momento del inventario.

Más el KeyLastWriteTimestamp a nivel del registro (no es un valor; los metadatos de última escritura de la propia clave del registro) — que es lo más cercano que expone Amcache a "¿cuándo registró el appraiser esto?".

Por qué les importa a los analistas#

InventoryApplicationFile es la fuente más rica de Windows para evidencia de archivo post-eliminación. Un wiper puede quitar el archivo del disco; la entrada persiste en el hive durante meses. La combinación de hash + ruta + publisher + hora de inventario es suficiente para identificar un binario, verificarlo contra VirusTotal y acotar cuándo apareció en el host — todo sin el propio binario.

Filtro de triage#

El filtro estándar de "¿es esto sospechoso?" aplicado al CSV de AmcacheParser de esta clave:

IsPeFile = True
AND Publisher is empty
AND FullPath is under \Users\, \AppData\, \ProgramData\, or \Temp\

Ese único filtro hace aflorar la gran mayoría de artefactos de malware comodín en un host infectado típico.

Para el tour completo de la estructura del registro, ver Estructura del registro Amcache.

Términos relacionados#

Amcache.hve — el hive.
FileId — el hash de contenido por entrada.
ProgramId — la identidad de aplicación por entrada.
KeyLastWriteTimestamp — el pivote de tiempo de inventario.
LinkDate — el campo de tiempo de compilación del PE.

¿Qué es Root\InventoryApplicationFile? (glosario)

Valores notables por entrada#

Por qué les importa a los analistas#

Filtro de triage#

Términos relacionados#

Artículos relacionados