Artículos con la etiqueta «glosario»

• ¿Qué es SRUM (SRUDB.dat)? (glosario)

  SRUM es el System Resource Usage Monitor de Windows — una base de datos ESE que registra el uso de CPU, red e I/O por aplicación en bloques horarios durante 30-60 días.

  2026-05-24

• ¿Qué es ShimCache (AppCompatCache)? (glosario)

  ShimCache es una cache mantenida por el kernel en el hive del registro SYSTEM que registra hasta 1024 binarios que el loader de Windows ha tocado. Diferente de Amcache.

  2026-05-24

• ¿Qué es Amcache ProgramId? (glosario)

  ProgramId es el hash de identidad de aplicación de 44 caracteres que Amcache asigna a cada aplicación lógica. El mismo ProgramId en hosts diferentes significa la misma instalación de aplicación.

  2026-05-24

• ¿Qué es Windows Prefetch? (glosario)

  Prefetch es la carpeta de Windows con archivos .pf que registran cada ejecución de binario, con hasta 8-10 marcas de tiempo de ejecución por binario y los archivos que cada uno cargó. La evidencia de ejecución más fuerte de Windows.

  2026-05-24

• ¿Qué es LinkDate en Amcache? (glosario)

  LinkDate es el TimeDateStamp de la cabecera PE que registra Amcache — cuándo se compiló o enlazó el binario, no cuándo apareció en el host.

  2026-05-24

• ¿Qué es KeyLastWriteTimestamp en Amcache? (glosario)

  KeyLastWriteTimestamp es el tiempo de última escritura a nivel del registro de una entrada de Amcache — lo más cercano que expone Amcache a 'cuándo el appraiser registró este archivo'.

  2026-05-24

• ¿Qué es Root\InventoryApplicationFile? (glosario)

  InventoryApplicationFile es la clave estrella del registro de Amcache — una subclave por cada binario PE inventariado por el appraiser, con ruta, SHA-1, publisher, fecha de link y marcas de tiempo.

  2026-05-24

• ¿Qué es Amcache FileId? (glosario)

  FileId es el identificador de 41 caracteres que Amcache almacena para cada archivo — '0000' + el SHA-1 hex de los primeros 31 MiB del archivo.

  2026-05-24

• ¿Qué es el triage DFIR? (glosario)

  El triage DFIR es el examen rápido de primera pasada de un host sospechoso de estar comprometido para confirmar o descartar el compromiso en minutos. Amcache es uno de los artefactos de triage más rápidos en Windows.

  2026-05-24

• ¿Qué es el Compatibility Appraiser? (glosario)

  El Microsoft Compatibility Appraiser es la tarea programada de Windows que inventaria el software instalado y escribe los registros en Amcache.hve.

  2026-05-24

• ¿Qué es BYOVD (Bring-Your-Own-Vulnerable-Driver)? (glosario)

  BYOVD es la técnica de atacante de dejar caer un driver del kernel legítimamente firmado pero explotable para ganar ejecución en modo kernel. InventoryDriverBinary de Amcache registra cada driver cargado.

  2026-05-24

• ¿Qué es Amcache.hve? (glosario)

  Amcache.hve es el hive del registro de Windows que registra cada binario PE que el Compatibility Appraiser inventarió en el host, con hash, ruta y hora de inventario.

  2026-05-24