¿Qué es KeyLastWriteTimestamp en Amcache? (glosario)
KeyLastWriteTimestamp es el tiempo de última escritura a nivel
del registro de la clave que contiene una entrada de inventario de
Amcache. Es lo más cercano que expone Amcache a una marca de
tiempo de "¿cuándo se registró este archivo?". AmcacheParser lo
presenta como una columna en cada CSV por categoría.
Es la marca de tiempo individualmente más importante de
Amcache — y la que los analistas nuevos confunden más a menudo
con LinkDate (el tiempo de compilación del PE), que es un campo
completamente diferente que significa algo completamente diferente.
Qué representa#
El registro almacena un tiempo de última escritura para cada clave
— metadatos mantenidos por el propio Windows. Cuando el
Compatibility Appraiser escribe o actualiza una entrada de
inventario, Windows actualiza el tiempo de última escritura de la
clave. AmcacheParser lee ese campo como KeyLastWriteTimestamp.
En la práctica:
- Entradas de primera aparición →
KeyLastWriteTimestampes la hora de corrida del appraiser después de que el archivo se notó por primera vez. - Entradas actualizadas → avanza al cambio de metadatos más reciente (el archivo creció, cambió la cadena de versión, cambió el hash).
- Entradas sin cambios → permanece igual incluso cuando pasadas posteriores del appraiser confirman que el archivo sigue ahí.
Ese último punto importa: no es "la hora más reciente en que el appraiser vio este archivo" — es "la hora más reciente en que el appraiser escribió sobre este archivo."
Confusiones comunes#
| Pregunta | Campo correcto |
|---|---|
| "¿Cuándo registró el appraiser este archivo?" | KeyLastWriteTimestamp |
| "¿Cuándo se compiló el binario?" | LinkDate |
| "¿Cuándo se creó el archivo en disco?" | MFT $STANDARD_INFORMATION.CreationTime |
| "¿Cuándo se ejecutó el binario?" | Marcas de tiempo de ejecución de Prefetch |
El pivote estándar de ventana temporal#
Para cualquier fila sospechosa:
- Toma su
KeyLastWriteTimestamp. - Define una ventana de una hora centrada en ella.
- Saca de esa ventana: otras filas de Amcache, entradas de
Prefetch, Sysmon
1/7/11, Security4688, MFT y journal USN.
La línea de tiempo resultante es la reconstrucción canónica de "¿qué estaba pasando alrededor de este evento de inventario?".
Para cobertura completa, ver Marcas de tiempo de Amcache explicadas.
Términos relacionados#
- LinkDate — la marca de tiempo con la que más a menudo se confunde.
- Compatibility Appraiser — lo que escribe el valor.
- InventoryApplicationFile — donde viven las entradas.
Artículos relacionados
- ¿Qué es LinkDate en Amcache? (glosario)
LinkDate es el TimeDateStamp de la cabecera PE que registra Amcache — cuándo se compiló o enlazó el binario, no cuándo apareció en el host.
- ¿Qué es Amcache ProgramId? (glosario)
ProgramId es el hash de identidad de aplicación de 44 caracteres que Amcache asigna a cada aplicación lógica. El mismo ProgramId en hosts diferentes significa la misma instalación de aplicación.
- ¿Qué es Root\InventoryApplicationFile? (glosario)
InventoryApplicationFile es la clave estrella del registro de Amcache — una subclave por cada binario PE inventariado por el appraiser, con ruta, SHA-1, publisher, fecha de link y marcas de tiempo.
- ¿Qué es Amcache FileId? (glosario)
FileId es el identificador de 41 caracteres que Amcache almacena para cada archivo — '0000' + el SHA-1 hex de los primeros 31 MiB del archivo.