Эта статья составляющий элемент статьи Forensics Windows Registry - ntuser.dat второго пункта "2. количество раз, когда был запущен пример calc.exe "
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
Запускаем программу
(я его уже скопировал на рабочий стол виртуальной машины, предварительно загрузившись с загрузочного диска,
можно было получить его автоматически с помощью [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows)
на этом screen видно что я запускал уже после telegram (ну да успел я на клацать, ручки они такие, шаловливые)
Есть еще программа
но с дополнительными программами и другим примером который проводится на виртуальной машине уже участвующей в статье Миф Анти-форензики ntuser.dat в ntuser.man
Теория:
UserAssist - Microsoft использует для заполнения пользовательского меню запуска с помощью часто используемых приложений.
Они существуют с Windows XP и последующих версиях.
Эти значения располагаются в кусте NTUSER.DAT каждого пользователя
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist- идентификаторы SID
- имена пользователей
- индексы
- имена приложений
- количество запусков
- сеанс и атрибуты времени последнего запуска
(Я заранее скопировал на виртуальную машину три программы на рабочий стол.
В реальной ситуации один из вариантов это создание ветки реестра и добавление туда нашего ntuser.dat и дальнейшего экспорта данной ветки в reg файл для последующего изучения)
В реальной ситуации один из вариантов это создание ветки реестра и добавление туда нашего ntuser.dat и дальнейшего экспорта данной ветки в reg файл для последующего изучения)
Запускаем программу
Ссылка скрыта от гостей
Запускаем программу
Ссылка скрыта от гостей
мы сможем только с уже изъятым из системы файлом ntuser.dat(я его уже скопировал на рабочий стол виртуальной машины, предварительно загрузившись с загрузочного диска,
можно было получить его автоматически с помощью [2 часть] Универсальный сборщик данных (IREC) с работающей системы Windows)
Ссылка скрыта от гостей
но у меня она запускалась только на старых системах, если у кого выйдет её оживить, надеюсь в комментариях поделитесь опытом.P:S
Данная статья будет дополняться и получать не значительные правки to by continued...
Последнее редактирование:
