Qu'est-ce que le Compatibility Appraiser ? (glossaire)
Le Compatibility Appraiser est la tâche planifiée qui écrit Amcache. Rien d'autre ne le fait. Si vous comprenez l'appraiser, vous comprenez la cadence, la couverture et les limites de toute enquête que vous bâtissez sur Amcache. Sinon, vous finirez par dater un constat du mauvais jour et le regretterez.
Ce qu'il faut savoir#
- Chemin de la tâche :
\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser. - Cadence : ~24h sur les stations Windows 10/11. 2 à 5 jours sur Server avec Desktop Experience. Une semaine ou plus sur Server Core. Saute sur batterie. Délai aléatoire sur le déclencheur temporel.
- Sortie :
C:\Windows\AppCompat\Programs\Amcache.hveplus.LOG1et.LOG2. - Origine : Customer Experience Improvement Program. La ruche locale est l'aire de transit pour la télémétrie qui part chez Microsoft. Il se trouve qu'elle est idéale pour le DFIR.
Deux choses que ça veut dire pour votre enquête#
D'abord, Amcache retarde sur la réalité. Un binaire déposé sur une station peut rester invisible à Amcache jusqu'à un jour. Sur un serveur, jusqu'à une semaine. S'il vous faut une précision sous l'heure sur le premier-vu, vous regardez le mauvais artefact. Utilisez plutôt Sysmon 1 / 11, Security 4688, ou la MFT et le journal USN.
Ensuite, l'appraiser est ciblable. Des builds durcies, des GPO bloquant la télémétrie et une poignée de scripts d'attaquant le coupent. La ruche ne disparaît pas. Elle gèle. Une ruche dont la densité de KeyLastWriteTimestamp s'effondre brutalement trois mois avant un incident vous dit que l'appraiser s'est arrêté, pas qu'il ne s'est rien passé.
Signes qu'il a été coupé#
- L'état de la tâche planifiée est
Disabled, ou sonLastRunTimecorrespond à la date d'installation de l'hôte. - La distribution de
KeyLastWriteTimestamps'effondre brutalement sur un hôte que vous savez actif depuis. HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0.- Le journal
Microsoft-Windows-Application-Experiencese tait autour de la même date.
Pour le contexte long, voir la Référence Amcache complète et Récupérer la preuve de binaires supprimés depuis Amcache.
Termes liés#
Articles liés
- À quelle fréquence Amcache est-il mis à jour ?
Environ quotidiennement sur les stations Windows 10/11. Tous les 2 à 5 jours sur les serveurs. Des semaines sur Server Core. Amcache retarde sur la réalité. Planifiez vos timelines en conséquence.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité d'application de 44 caractères qu'Amcache stocke. Stable entre hôtes pour la même installation. Attrape les recompilations et renommages que Hash rate.
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le PE TimeDateStamp. Contrôlable par l'attaquant. Utilisez-le pour le regroupement de builds, pas pour les chronologies d'hôte.
- Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)
Le temps d'écriture registre de la clé Amcache. Ce qui se rapproche le plus de 'quand l'appraiser l'a enregistré'. Le champ que les nouveaux analystes confondent le plus souvent avec LinkDate.