今週末に備えて色々と調べ物をしているところですが、Windows 7 の UserAssist キーは、ROT-13で文字列が保存されている点は同じですが、従来とはバイナリデータの内容が異なっているんですかね。

Update: UserAssist Tool Version 2.4.3
http://blog.didierstevens.com/2009/08/11/update-userassist-tool-version-2-4-3/

UserAssistツールの作者がコメント欄でコメントしているのが興味深いです。
とりあえず Userassist 2.4.3 に Windows 7 の NTUSER.DAT をロードしても「The file didn't contain UserAssist data」とエラーメッセージが表示されて解析できません。*1
とりあえず UserAssist の新バージョン待ちですかねぇ。
素朴な疑問としては、何故に Microsoft は UserAssist のデータ構造を変更する必要があったんですかねぇ。
ついでといっちゃぁなんですが、RegRipper で Winodws 7 の NTUSER.DAT を解析させた場合の、UserAssist項目の出力結果はこんな感じです。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count not found.

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

もちろんキー名がWindows 7では異なるのでそのままでは駄目なので修正が必要ですけど、{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} と {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F} を指定した場合でもこんな感じですね。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -

UserAssist (Active Desktop)
Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}\Count
LastWrite Time Mon Aug 31 06:06:00 2009 (UTC)

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • -