À quelle fréquence Amcache est-il mis à jour ?
Le Compatibility Appraiser met à jour Amcache.hve environ quotidiennement
sur les postes Windows 10/11, tous les 2 à 5 jours sur Windows
Server avec Desktop Experience, et hebdomadairement ou plus sur Server
Core. La cadence vient de la tâche planifiée à
\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser,
qui combine déclencheurs en temps d'inactivité et déclencheurs temporels avec
délai aléatoire et est sensible à l'alimentation.
Pour le DFIR, cela signifie qu'Amcache est en retard sur le temps réel :
| Type d'hôte | Décalage typique entre fichier sur disque et entrée Amcache |
|---|---|
| Poste Windows 10/11 | Jusqu'à ~24 heures |
| Windows Server avec Desktop Experience | 2–5 jours |
| Windows Server Core | Jusqu'à une semaine ou plus |
| Laptop en Modern Standby | Jusqu'à 36–48 heures |
| Appareil sur batterie | Variable (l'appraiser saute sur batterie) |
Un binaire déposé sur un hôte peut ne pas apparaître dans Amcache pendant cette
fenêtre. Pour une précision de premier vu inférieure à l'heure, utilisez les événements
Sysmon File Create (Event ID 11) ou MFT
$STANDARD_INFORMATION.CreationTime à la place. Amcache excelle à
« présent à un moment donné » — pas « présent à cette seconde exacte ».
Forcer l'appraiser à s'exécuter#
Si vous avez besoin d'un Amcache frais rapidement (pendant un triage), déclenchez la tâche :
# PowerShell élevé
Start-ScheduledTask `
-TaskPath '\Microsoft\Windows\Application Experience\' `
-TaskName 'Microsoft Compatibility Appraiser'
# Attendez 30-60s, puis vérifiez LastRunTime
Get-ScheduledTaskInfo `
-TaskPath '\Microsoft\Windows\Application Experience\' `
-TaskName 'Microsoft Compatibility Appraiser'Après achèvement, recollectez Amcache.hve et ses journaux de
transactions.
Quand l'appraiser est désactivé#
Signes que l'appraiser ne s'exécute pas :
- La tâche planifiée est désactivée ou a un
LastRunTimeobsolète. HKLM\SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry = 0(la stratégie de groupe désactive CEIP / télémétrie).- La distribution
KeyLastWriteTimestampd'Amcache.hves'arrête à une certaine date sans entrées plus récentes.
Sur un hôte où l'appraiser est désactivé, Amcache est figé. Ce n'est pas un artefact utile pour les événements après l'heure de désactivation. Utilisez Sysmon, EDR et le journal d'événements Security à la place.
Pour la référence d'appraiser plus large, voir le glossaire Compatibility Appraiser. Pour les détails de cadence spécifiques au build, voir Amcache sur Windows Server.
Articles liés
- Pourquoi mon Amcache.hve est-il vide ?
Trois causes courantes : le Compatibility Appraiser est désactivé, l'hôte vient d'être fraîchement imagé, ou vous collectez depuis un Server / Server Core où l'appraiser s'exécute beaucoup moins souvent.
- Où se trouve la clé de registre Amcache ?
Amcache est sa propre ruche située à C:\Windows\AppCompat\Programs\Amcache.hve — pas une clé sous HKLM. Quand elle est chargée par des outils ou par Windows lui-même, elle est montée comme HKLM\Amcache.
- Que contient Amcache.hve ?
Amcache.hve contient des enregistrements d'inventaire pour chaque binaire PE, pilote et périphérique connecté que le Compatibility Appraiser Windows a vu — avec hashes SHA-1, chemins, éditeurs et horodatages.
- Qu'est-ce qu'un fichier .pf vs une entrée Amcache ?
Les fichiers .pf sont des enregistrements Windows Prefetch — preuve qu'un binaire s'est exécuté, avec horodatages d'exécution et listes de fichiers chargés. Les entrées Amcache enregistrent la présence, avec le hash SHA-1 et les métadonnées.