¿Con qué frecuencia se actualiza Amcache?
El Compatibility Appraiser actualiza Amcache.hve
aproximadamente diariamente en estaciones de trabajo Windows
10/11, cada 2 a 5 días en Windows Server con Desktop Experience,
y semanalmente o más en Server Core. La cadencia viene de la tarea
programada en
\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser,
que combina disparadores en tiempo de inactividad y disparadores
basados en tiempo con retraso aleatorio y es consciente de la
energía.
Para DFIR, esto significa que Amcache va por detrás del tiempo real:
| Tipo de host | Retraso típico de archivo-en-disco a entrada en Amcache |
|---|---|
| Estación de trabajo Windows 10/11 | Hasta ~24 horas |
| Windows Server con Desktop Experience | 2-5 días |
| Windows Server Core | Hasta una semana o más |
| Laptop en Modern Standby | Hasta 36-48 horas |
| Dispositivo en batería | Variable (el appraiser omite en batería) |
Un binario dejado en un host puede no aparecer en Amcache durante
esa ventana. Para precisión sub-hora de primer visto, usa los
eventos File Create de Sysmon (Event ID 11) o
MFT $STANDARD_INFORMATION.CreationTime en su lugar. Amcache
sobresale en "presente en algún momento" — no en "presente en este
segundo exacto."
Forzar al appraiser a correr#
Si necesitas Amcache fresco rápido (durante un triage), patea la tarea:
# PowerShell elevado
Start-ScheduledTask `
-TaskPath '\Microsoft\Windows\Application Experience\' `
-TaskName 'Microsoft Compatibility Appraiser'
# Espera 30-60s, luego comprueba LastRunTime
Get-ScheduledTaskInfo `
-TaskPath '\Microsoft\Windows\Application Experience\' `
-TaskName 'Microsoft Compatibility Appraiser'Tras completarse, recolecta de nuevo Amcache.hve y sus journals
de transacciones.
Cuando el appraiser está desactivado#
Señales de que el appraiser no está corriendo:
- La tarea programada está desactivada o tiene un
LastRunTimeobsoleto. HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0(Group Policy desactiva CEIP / telemetría).- La distribución de
KeyLastWriteTimestampdeAmcache.hvese detiene en alguna fecha sin entradas más nuevas.
En un host donde el appraiser está desactivado, Amcache está congelado. No es un artefacto útil para eventos posteriores al momento del desactivado. Usa Sysmon, EDR y log de eventos de Seguridad en su lugar.
Para la referencia más amplia del appraiser, ver el glosario del Compatibility Appraiser. Para detalles de cadencia específicos del build, ver Amcache en Windows Server.
Artículos relacionados
- ¿Por qué mi Amcache.hve está vacío?
Tres causas comunes: el Compatibility Appraiser está desactivado, el host está recién imageado, o estás recolectando de un Server / Server Core donde el appraiser corre mucho menos a menudo.
- ¿Dónde está la clave del registro de Amcache?
Amcache es su propio archivo de hive en C:\Windows\AppCompat\Programs\Amcache.hve — no una clave bajo HKLM. Cuando es cargado por herramientas o por el propio Windows se monta como HKLM\Amcache.
- ¿Qué contiene Amcache.hve?
Amcache.hve contiene registros de inventario para cada binario PE, driver y dispositivo conectado que el Compatibility Appraiser de Windows ha visto — con hashes SHA-1, rutas, publishers y marcas de tiempo.
- ¿Cuál es la diferencia entre un archivo .pf y una entrada de Amcache?
Los archivos .pf son registros de Windows Prefetch — prueba de que un binario se ejecutó, con marcas de tiempo de ejecución y listas de archivos cargados. Las entradas de Amcache registran presencia, con el hash SHA-1 y metadatos.