Qu'est-ce que KeyLastWriteTimestamp dans Amcache ? (glossaire)
KeyLastWriteTimestamp est l'heure de dernière écriture au niveau registre de
la clé contenant une entrée d'inventaire Amcache. C'est ce qui se rapproche
le plus, dans Amcache, d'un horodatage « quand ce fichier a-t-il été enregistré ? ».
AmcacheParser fait remonter cette information comme colonne dans chaque
CSV par catégorie.
C'est l'horodatage le plus important d'Amcache — et celui
que les nouveaux analystes confondent le plus souvent avec LinkDate (l'heure de
compilation PE), qui est un champ complètement différent qui signifie
une chose complètement différente.
Ce qu'il représente#
Le registre stocke une heure de dernière écriture pour chaque clé — métadonnées
maintenues par Windows lui-même. Lorsque le Compatibility Appraiser
écrit ou met à jour une entrée d'inventaire, Windows met à jour l'heure
de dernière écriture de la clé. AmcacheParser lit ce champ en tant que
KeyLastWriteTimestamp.
En pratique :
- Entrées de première apparition →
KeyLastWriteTimestampest l'heure d'exécution de l'appraiser après que le fichier a été remarqué pour la première fois. - Entrées mises à jour → avance jusqu'au plus récent changement de métadonnées (le fichier a grossi, la chaîne de version a changé, le hash a changé).
- Entrées inchangées → reste fixe même quand les passes ultérieures de l'appraiser confirment que le fichier est toujours là.
Ce dernier point importe : ce n'est pas « la dernière fois que l'appraiser a vu ce fichier » — c'est « la dernière fois que l'appraiser a écrit à propos de ce fichier ».
Confusions courantes#
| Question | Bon champ |
|---|---|
| « Quand l'appraiser a-t-il enregistré ce fichier ? » | KeyLastWriteTimestamp |
| « Quand le binaire a-t-il été compilé ? » | LinkDate |
| « Quand le fichier a-t-il été créé sur disque ? » | MFT $STANDARD_INFORMATION.CreationTime |
| « Quand le binaire s'est-il exécuté ? » | Horodatages d'exécution Prefetch |
Le pivot standard de fenêtre temporelle#
Pour toute ligne suspecte :
- Prenez son
KeyLastWriteTimestamp. - Définissez une fenêtre d'une heure centrée dessus.
- Tirez de cette fenêtre : autres lignes Amcache, entrées Prefetch,
Sysmon
1/7/11, Security4688, MFT et journal USN.
La chronologie résultante est la reconstruction canonique « que se passait-il autour de cet événement d'inventaire ? ».
Pour une couverture complète, voir Horodatages Amcache expliqués.
Termes apparentés#
- LinkDate — l'horodatage avec lequel il est le plus souvent confondu.
- Compatibility Appraiser — ce qui écrit la valeur.
- InventoryApplicationFile — où vivent les entrées.
Articles liés
- Qu'est-ce que LinkDate dans Amcache ? (glossaire)
LinkDate est le TimeDateStamp de l'en-tête PE qu'Amcache enregistre — quand le binaire a été compilé ou linké, pas quand il est apparu sur l'hôte.
- Qu'est-ce que le ProgramId Amcache ? (glossaire)
ProgramId est le hash d'identité applicative de 44 caractères qu'Amcache attribue à chaque application logique. Le même ProgramId sur différents hôtes signifie la même installation d'application.
- Qu'est-ce que Root\InventoryApplicationFile ? (glossaire)
InventoryApplicationFile est la clé de registre principale d'Amcache — une sous-clé par binaire PE inventorié par l'appraiser, avec chemin, SHA-1, éditeur, date de link et horodatages.
- Qu'est-ce que le FileId Amcache ? (glossaire)
FileId est l'identifiant de 41 caractères qu'Amcache stocke pour chaque fichier — '0000' + le SHA-1 hex des 31 premiers Mio du fichier.