読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(21) UserAssist

フォレンジック

Program Execution カテゴリの最初に出てくるのが UserAssist になります。GUIベースのプログラムに関する実行履歴が、各ユーザーの NTUSER.DAT ファイル内に記録されていますので、その内容を確認する事になります。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

ポスターに詳細が記載されていますが、Windows 7 では GUID によって実行ファイル拡張子なのか、ショートカットなのかキーが分かれています。

レコードによっては、GUID に続いてプログラム名が記載されている場合があります。

例){7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E}\Microsoft Office\Office12\EXCEL.EXE

この場合、GUIDがどのパスかを確認する必要が出てきますが、この GUID 値については、マイクロソフト社の下記 KB で値のリストを確認することが出来ます。

例えば 7C5A40EF- は ProgramFilesX86 である事が確認できます。(KBに記載がない番号もありますが)

Known Folder GUIDs for File Dialog Custom Places
http://msdn.microsoft.com/en-us/library/bb882665.aspx

 ProgramFilesX86
7C5A40EF-A0FB-4BFC-874A-C0F2E0B9FA8E

 

Didier Stevens UserAssist
http://blog.didierstevens.com/programs/userassist/

SANS Forensic Artifact 6: UserAssist
http://sploited.blogspot.jp/2012/12/sans-forensic-artifact-6-userassist.html

Windows-userassist-keys
http://www.aldeid.com/wiki/Windows-userassist-keys