UserAssist Analizi

 

UserAssist

UserAssit Windows registry keylerinde bulunan bir diğer önemli key olarak bilinir. Windows NT sürümünde itibaren kullanılmaya başlanılmıştır. Kullanıcının eriştiği kısa yollar, programlar ve denetim masasındaki nesneleri bilgilerini içerir.  En sık kullanılan uygulamalara kısa bir kısa yol listesi sağlayarak uygulamanın başlatılmasına yardımcı olmak amacıyla Microsoft tarafından uygulanmaya alınmıştır.

Windows sistemde oturum açan kullanıcının çalıştırmış olduğu programlar UserAssit key’ini girdiler ile doldurur bu girmiş olduğu girdiler kullanıcı tarafından çalıştırılan programlarla ilgili kanıtsal artifacleri sağlayabilir.

Bu program silindikten sonra bile yerinde kalabilmektedir. UserAssist kalıntıları Prefetch dosyaları gibi rutin işlem olarak otomatik olarak silinmez. Her kullanıcısı için NTUSER.DAT dosyasında bir UserAssist anahtarının yaratıldığı belirlemiştir. Yapılan analizler sonucunda tüm uygulamalar Windows kayıt defterinde varlık yaratmaz yaratılmayan uygulamalar UserAssist’te oluşabilmektedir. UserAssit sayesinde hangi kullanıcının hangi uygulamayı çalıştırdığı tespit edilebilir. UserAssit sayesinde adli analizin gerçekleştiği bir Windows sistemde hangi programın çalıştığı tespit edilir. Güvenliği ihlal edilmiş bir makinede kötü amaçlı bir exe dosyasının yürütüldüğünü varsayalım, UserAssist adli analizi gerçekleştiren kişinin kanıt bulmasını sağlar.

UserAssit Analizi

UserAssit bulunmuş olduğu path;

NTUSER.DAT HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUserAssist{GUID}Count

GUID:

{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} àÇalıştırılabilen dosya

GUID:

{F4E57C4B-2036-45F0-A9AB-443BCFE33D9F} àKısa yol dosyaları

Bu iki anahtar bu bilgileri tutar.

Bu alt anahtarların altındaki kayıt defteri değerleri, temelde bir karakteri ASCII tablosunda kendisinden 13 konum uzaktaki başka bir karakterle değiştiren ROT-13 algoritması kullanılarak zayıf bir şekilde şifrelenir.

Count keyi altında bulunan bu değerler ROT-13 algoritması kullanılarak şifreli bir şekilde tutar. Çeşitli toolların yardımıyla decode edebiliriz.

 

UserAssit Adli analizini sağladığımız zaman;

·       Program yürütme sıklığı — kullanıcı başına.

·       Son kez bir program başlatıldı.

·       Öğelerin en sık nereden başlatıldığı.

·       Sistem tarih/saat değişiklikleri.

·       Silme/kaldırma işleminden sonra programların kanıtı.

·       Programın sistemde silinip silinmediğinin kanıtı

·       Bir kullanıcının belirli bir programla ne kadar süredir etkileşimde bulunduğu

 

Gibi değerli bilgileri elde edebiliriz.

 

 

 

 

Kaynak:

https://www.4n6k.com/2013/05/userassist-forensics-timelines.html

https://www.aldeid.com/wiki/Windows-userassist-keys