Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)
KeyLastWriteTimestamp est la dernière fois que le registre a écrit la clé qui contient cette entrée Amcache. Exposé par AmcacheParser comme colonne sur chaque CSV. C'est l'horodatage le plus important d'Amcache, et celui le plus souvent confondu avec LinkDate. Ce ne sont pas les mêmes et ils répondent à des questions différentes.
Ce qu'il représente#
Chaque clé de registre a un temps de dernière écriture écrit par Windows lui-même. Quand l'appraiser crée ou met à jour une entrée sous Root\InventoryApplicationFile, le last-write de cette clé avance. AmcacheParser le lit et l'expose comme KeyLastWriteTimestamp.
En pratique :
- La première fois que l'appraiser inventorie un fichier, l'horodatage est le moment d'exécution de l'appraiser après avoir remarqué le fichier. Borne supérieure pour "premier présent sur disque".
- Les changements de métadonnées (nouveau hash, taille plus grande, chaîne de version changée) font avancer l'horodatage.
- Un fichier stable dont les métadonnées ne changent jamais garde le même horodatage même après de nombreuses passes suivantes de l'appraiser. C'est "dernière écriture", pas "dernier vu".
Ce dernier point est ce qui piège les gens. Un binaire présent et inchangé depuis deux ans a un KeyLastWriteTimestamp vieux de deux ans.
Les quatre horodatages et lequel utiliser#
| Question | Champ |
|---|---|
| Quand Amcache l'a-t-il enregistré ? | KeyLastWriteTimestamp |
| Quand le binaire a-t-il été compilé ? | LinkDate |
| Quand le fichier a-t-il atterri sur disque ? | MFT $STANDARD_INFORMATION.CreationTime |
| Quand s'est-il exécuté ? | Temps d'exécution Prefetch |
Le pivot standard de fenêtre temporelle#
Prenez une ligne suspecte. Prenez son KeyLastWriteTimestamp. Ouvrez une fenêtre d'une heure centrée dessus. Tirez de cette fenêtre :
- Autres lignes Amcache sur le même hôte.
- Entrées Prefetch.
- Sysmon
1(création de processus),7(chargement d'image),11(création de fichier). - Security 4688.
- Créations MFT et journal USN.
C'est la reconstruction canonique. Presque tout constat basé sur Amcache finit par exécuter ce pivot au moins une fois.
Pour la référence longue, voir Horodatages Amcache expliqués.
Termes liés#
Articles liés
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le PE TimeDateStamp. Contrôlable par l'attaquant. Utilisez-le pour le regroupement de builds, pas pour les chronologies d'hôte.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité d'application de 44 caractères qu'Amcache stocke. Stable entre hôtes pour la même installation. Attrape les recompilations et renommages que Hash rate.
- Qu'est-ce que Root\InventoryApplicationFile ? (glossaire)
La clé principale d'Amcache. Une sous-clé par PE inventorié par l'appraiser, avec hash, chemin, éditeur, date de lien et un horodatage d'écriture du registre. Là où passent 90 % du temps d'analyste.
- Qu'est-ce que le FileId Amcache ? (glossaire)
FileId, c'est '0000' plus le SHA-1 des 31 premiers MiB du fichier. Retirez le préfixe avant de taper VirusTotal, sinon il vous renverra rien en silence.