Статья Forensics Windows Registry - расшифровка и отображение всех записей UserAssist

Sunnych

Sunnych

Mod. Forensics
Gold Team
01.06.2018
223
1 027
Эта статья составляющий элемент статьи Forensics Windows Registry - ntuser.dat второго пункта "2. количество раз, когда был запущен пример calc.exe "
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
  • идентификаторы SID
  • имена пользователей
  • индексы
  • имена приложений
  • количество запусков
  • сеанс и атрибуты времени последнего запуска
Для примера произвели такие действия: включили виртуальную машину, скопировали программы которые будем использовать, запустили Telegram, MicrosoftEdge
(Я заранее скопировал на виртуальную машину три программы на рабочий стол.
В реальной ситуации один из вариантов это создание ветки реестра и добавление туда нашего ntuser.dat и дальнейшего экспорта данной ветки в reg файл для последующего изучения)
Запускаем программу
UserAssist-1.jpg

Запускаем программу мы сможем только с уже изъятым из системы файлом ntuser.dat
(я его уже скопировал на рабочий стол виртуальной машины, предварительно загрузившись с загрузочного диска,
можно было получить его автоматически с помощью [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows)
UserAssistant 4Discovery.jpg
на этом screen видно что я запускал уже после telegram (ну да успел я на клацать, ручки они такие, шаловливые)
Есть еще программа но у меня она запускалась только на старых системах, если у кого выйдет её оживить, надеюсь в комментариях поделитесь опытом.

P:S​
Данная статья будет дополняться и получать не значительные правки to by continued...
 
Последнее редактирование:
Мы в соцсетях: