Qu'est-ce que le Compatibility Appraiser ? (glossaire)
Le Microsoft Compatibility Appraiser est une tâche planifiée
Windows qui parcourt périodiquement le système, inventorie les
logiciels installés et présents, collecte les métadonnées d'en-tête
PE pour chaque fichier PE, et écrit les enregistrements dans la
ruche du registre Amcache.hve.
C'est la seule chose qui écrit dans Amcache. Si vous comprenez l'appraiser, vous comprenez la cadence, la couverture et les limites de toute investigation Amcache.
Faits clés#
- Chemin de la tâche planifiée :
\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - Cadence d'exécution : ~24 h sur les postes Windows 10/11 ; 2 à 5 jours sur Server ; hebdomadaire ou plus sur Server Core.
- Modèle de déclenchement : déclencheurs en temps d'inactivité plus déclencheurs temporels avec délai aléatoire. Sensible à l'alimentation — n'exécute pas sur batterie.
- Sortie :
C:\Windows\AppCompat\Programs\Amcache.hve(plus les journaux de transactions.LOG1et.LOG2). - Objectif sous-jacent : télémétrie Customer Experience Improvement Program (CEIP). L'inventaire local existe parce que l'appraiser devait savoir quoi envoyer à Microsoft.
Implications forensiques#
Deux conséquences importent en DFIR :
- Amcache est en retard sur la réalité. Un binaire déposé sur un hôte peut ne pas apparaître dans Amcache pendant jusqu'à ~24 h (poste) ou plusieurs jours (serveur). Pour une précision à l'heure près du premier vu, utilisez plutôt Sysmon / Security 4688 / MFT.
- Désactiver l'appraiser, figer Amcache. Certains builds durcis et environnements de haute sécurité désactivent l'appraiser (intentionnellement ou via une politique CEIP). Sur ces hôtes, Amcache est figé à l'heure de désactivation et n'est pas un artefact utile pour les événements ultérieurs.
Détecter la falsification#
Signes que l'appraiser a été désactivé :
- La tâche planifiée est désactivée ou présente un
LastRunTimeobsolète. - La distribution
KeyLastWriteTimestampd'Amcache.hves'arrête à une certaine date sans entrées plus récentes sur un hôte sur lequel vous attendiez une activité plus récente. HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0.
Pour le contexte d'investigation plus large, voir la référence complète Amcache et Récupérer les preuves de binaires supprimés depuis Amcache.
Termes apparentés#
- Amcache.hve — la ruche que l'appraiser écrit.
- InventoryApplicationFile — la clé principale que l'appraiser remplit.
- KeyLastWriteTimestamp — l'horodatage d'écriture de l'appraiser.
Pour explorer une ruche Amcache sans rien installer, déposez-la sur la page d'accueil du parser.
Articles liés
- À quelle fréquence Amcache est-il mis à jour ?
Le Compatibility Appraiser met à jour Amcache.hve environ quotidiennement sur les postes Windows 10/11, tous les 2-5 jours sur les serveurs, et hebdomadairement ou plus sur Server Core.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Le même ProgramId sur différents hôtes signifie la même installation d'application.
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le TimeDateStamp de l'en-tête PE qu'Amcache enregistre — quand le binaire a été compilé ou linké, pas quand il est apparu sur l'hôte.
- Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)
KeyLastWriteTimestamp est l'heure de dernière écriture au niveau registre d'une entrée Amcache — ce qui se rapproche le plus, dans Amcache, de « quand l'appraiser a enregistré ce fichier ».