• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь. Мобильный клиент для IOS находится в itunes по этой ссылке

Статья Forensics Windows Registry - расшифровка и отображение всех записей UserAssist

Sunnych

Mod. Forensics
Red Team
01.06.2018
122
454
#1
Эта статья составляющий элемент статьи Forensics Windows Registry - ntuser.dat второго пункта "2. количество раз, когда был запущен пример calc.exe "
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
  • идентификаторы SID
  • имена пользователей
  • индексы
  • имена приложений
  • количество запусков
  • сеанс и атрибуты времени последнего запуска
Для примера произвели такие действия: включили виртуальную машину, скопировали программы которые будем использовать, запустили Telegram, MicrosoftEdge
(Я заранее скопировал на виртуальную машину три программы на рабочий стол.
В реальной ситуации один из вариантов это создание ветки реестра и добавление туда нашего ntuser.dat и дальнейшего экспорта данной ветки в reg файл для последующего изучения)
Запускаем программу
Для просмотра контента необходимо: Войти или зарегистрироваться

UserAssist-1.jpg

Запускаем программу
Для просмотра контента необходимо: Войти или зарегистрироваться
мы сможем только с уже изъятым из системы файлом ntuser.dat
(я его уже скопировал на рабочий стол виртуальной машины, предварительно загрузившись с загрузочного диска,
можно было получить его автоматически с помощью [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows)
UserAssistant 4Discovery.jpg
на этом screen видно что я запускал уже после telegram (ну да успел я на клацать, ручки они такие, шаловливые)
Есть еще программа
Для просмотра контента необходимо: Войти или зарегистрироваться
но у меня она запускалась только на старых системах, если у кого выйдет её оживить, надеюсь в комментариях поделитесь опытом.

P:S​
Данная статья будет дополняться и получать не значительные правки to by continued...
 
Последнее редактирование:
Вверх Снизу