UserAssist

But et fonction

L’artefact Aide à l’utilisateur est un ensemble de clés de registre dans le profil de chaque utilisateur qui fonctionne comme une liste des plus récemment utilisées (MRU) pour les applications lancées via le shell graphique Windows (par exemple, via le menu Démarrer, le Bureau ou l’Explorateur). Son objectif principal du système est de remplir les listes de programmes fréquemment utilisés, aidant ainsi à personnaliser l’expérience utilisateur.

Du point de vue du DFIR, UserAssist est une source précieuse de preuves pour suivre quelles applications basées sur une interface graphique un utilisateur spécifique a lancées, combien de fois il les a lancées et quand elles ont été exécutées pour la dernière fois. Il offre une vue centrée sur l’utilisateur de l’historique d’exécution des programmes.

Emplacement et structure

Les données UserAssist sont stockées dans le NTUSER de l’utilisateur actuel. Ruche du registre DAT. On peut aussi le trouver dans les versions plus récentes de Windows.UsrClass.dat

  • Emplacement: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\

Au sein de cette clé, il y a généralement deux sous-clés ou plus, chacune identifiée par un identifiant globalement unique (GUID). Chaque GUID correspond à un type différent de programme ou de raccourci :

  • {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}: Suit l’exécution des fichiers et des éléments système..exe

  • {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}: Suit l’exécution des fichiers (raccourcis)..lnk

À l’intérieur de chaque touche GUID se trouve une sous-clé. La clé contient une série de valeurs de registre où sont stockées les données médico-légales réelles.Count Count

Encodage des données et métadonnées stockées

Une caractéristique définissante de UserAssist est que ses données sont encodées à l’aide du chiffrement ROT-13, un chiffre simple de substitution de lettres. Les noms des valeurs du registre sont les chemins codés ROT-13 ou les noms des programmes exécutés. Des outils médico-légaux spécialisés sont nécessaires pour décoder ces données en un format lisible par l’humain.

Une fois décodée, chaque entrée UserAssist fournit les métadonnées suivantes :

  • Nom de l’exécutable/raccourci : Le nom du programme ou du raccourci qui a été lancé. Cela peut inclure des chemins complets pour les objets lancés depuis des emplacements spécifiques.

  • Nombre de points : Un compteur qui suit le nombre total de fois où le programme a été exécuté par l’utilisateur.

  • Dernière heure d’exécution : Un horodatage indiquant la date et l’heure de lancement du programme.FILETIME

  • Temps de mise au point (Windows 10+) : Les versions plus récentes de Windows peuvent également suivre le temps où l’application était au premier plan (avec la mise au point) et le nombre de fois où elle a été mise au point.

Valeur médico-légale

UserAssist est un artefact puissant pour construire un profil de l’utilisation d’une application par un utilisateur. Sa valeur médico-légale est significative pour plusieurs raisons :

  • Preuves spécifiques à chaque utilisateur : Les données sont stockées dans la ruche privée du registre de l’utilisateur, liant directement l’exécution du programme à un compte utilisateur spécifique. C’est crucial dans les environnements multi-utilisateurs.

  • Chronologie historique : Il fournit un historique des lancements d’applications, incluant un nombre de lancements qui peut aider à établir des schémas d’utilisation au fil du temps.

  • Preuve d’exécution : Cela constitue une preuve directe qu’un utilisateur a lancé une application spécifique basée sur une interface graphique, complétant d’autres artefacts comme le Prefetch et le BAM.

  • Détection de l’anti-criminalistique : Les touches UserAssist sont une cible courante pour les utilitaires de nettoyage (par exemple, CCleaner) et la suppression manuelle. Trouver ces clés vides sur un système clairement en usage régulier, ou trouver des preuves de leur suppression récente (par exemple, via un analyseur de registre médico-légal), est un fort indicateur d’une tentative de dissimulation des traces.

Il est important de noter que UserAssist suit principalement les programmes lancés via l’interface graphique. Les applications lancées uniquement via la ligne de commande peuvent ne pas créer d’entrée.

Points de réflexion (Concours SS)

Pour un ScreenSharer, UserAssist fournit un contexte crucial sur les habitudes d’un utilisateur et peut corroborer les résultats d’autres artefacts d’exécution.

  • Preuves corroborantes : Si Prefetch et BAM montrent l’exécution d’un suspect , trouver une entrée correspondante dans UserAssist renforce le cas en confirmant que le lancement a été initié via l’interface graphique, en le liant directement aux actions de l’utilisateur..exe

  • Nombre de points comme indicateur : Un nombre élevé de runs sur un triche connu ou un outil suspect peut contrecarrer les affirmations selon lesquelles il aurait « été utilisé une fois par accident ». Cela démontre un schéma d’utilisation répétée.

  • Triches renommées pour le suivi : UserAssist enregistre le nom de l’exécutable au moment de l’exécution. Si un tricheur s’exécute puis le renomme , l’entrée UserAssist pointera toujours vers , en préservant le nom d’origine.vape.exe homework.exe vape.exe

PrécédentBAM & DAMSuivantAmcache / Syscache

Mis à jour