¿Cómo es un ProgramId?

44 caracteres hex sin prefijo y sin delimitadores, a menudo terminando en '0000ffff' o similar, por ejemplo 0006fa0b2a9f8a4eb9d7c81e8b1f3c5d3e2a0000ffff.

¿Es ProgramId un hash del binario?

No. ProgramId se calcula a partir de los metadatos de la aplicación (nombre, publisher, versión, idioma), no a partir de los bytes del binario. Para el hash de contenido, usa FileId.

¿Es ProgramId estable a través de hosts?

Sí — la misma instalación de aplicación en hosts diferentes típicamente comparte el mismo ProgramId. Esto es lo que lo hace valioso para hunts inter-host.

¿Es ProgramId estable a través de actualizaciones de características de Windows?

No siempre. Actualizar de Windows 10 21H2 a Windows 11 22H2 puede cambiar los valores de ProgramId para la misma aplicación. Dentro de un build mayor, ProgramId es estable.

¿Cuándo debo pivotar en ProgramId vs Hash?

Usa Hash para coincidencias de binario exacto; usa ProgramId para coincidencias a nivel de familia (recompilaciones con el mismo nombre/publisher/versión). Para hunts inter-host de alta precisión, corre ambos pivotes y trata las coincidencias de ProgramId con hashes no coincidentes como sospechosas.

¿Qué es Amcache ProgramId? (glosario)

ProgramId es el hash de identidad de aplicación de 44 caracteres que Amcache asigna a cada aplicación lógica. A diferencia de FileId, que hashea contenido de archivo, ProgramId hashea metadatos de la aplicación — nombre, publisher, versión e idioma.

Un valor típico:

0006fa0b2a9f8a4eb9d7c81e8b1f3c5d3e2a0000ffff

Dos propiedades hacen valioso a ProgramId en DFIR:

Estable a través de hosts. El mismo build de Office 365 en dos estaciones de trabajo diferentes obtiene el mismo ProgramId.
Une registros de archivo con registros de aplicación. Un archivo en Root\InventoryApplicationFile y la aplicación padre en Root\InventoryApplication comparten el valor.

Cómo se diferencia de FileId#

	FileId	ProgramId
Longitud	41 caracteres (`"0000"` + SHA-1)	44 caracteres
Hashea	Primeros 31 MiB de bytes del archivo	Metadatos de la aplicación
Único por binario	Sí	No — los hermanos lo comparten
Único por host	No	No — estable inter-host
Uso de pivote	Binario exacto inter-host	Familia de aplicación inter-host

Cuándo gana ProgramId#

Herramientas recompiladas con la misma identidad. El atacante recompila su loader entre hosts — Hash difiere, ProgramId se mantiene igual.
Binarios renombrados. mimikatz.exe → svchost64.exe → update.exe. Si el atacante no limpió el recurso version-info del PE, ProgramId sigue al binario a través de los renombrados.
Acotación inter-host. Un solo ProgramId sospechoso en un host se convierte en una consulta contra cada otro Amcache de host recolectado. Ver Movimiento lateral y pivote ProgramId de Amcache.

Cuándo ProgramId es el pivote equivocado#

Binarios living-off-the-land. net.exe, psexec.exe y certutil.exe comparten ProgramId en cada host que los tenga. Pivota en línea de comandos en su lugar.
Implantes por host. Malware verdaderamente por víctima produce valores únicos de ProgramId por host. Usa patrones de comportamiento (logon 4624, indicadores de red) para esos.

Para la referencia completa de ProgramId, ver Amcache ProgramId explicado.

Términos relacionados#

FileId — el identificador de hash de contenido.
InventoryApplicationFile — donde se almacena ProgramId.
Amcache.hve — el hive.

¿Qué es Amcache ProgramId? (glosario)

Cómo se diferencia de FileId#

Cuándo gana ProgramId#

Cuándo ProgramId es el pivote equivocado#

Términos relacionados#

Artículos relacionados