안녕하세요. 도깬리 포렌식스 입니다.
오늘은 윈도우 레지스트리 심화학습 마지막 시간입니다. 어제부터 장마가 시작되었나 봅니다. 하루 종일 비가 내려 집안 구석구석이 물을 먹어 무거워 보이네요. 하지만 오늘도 모두 힘내요.
UserAssist 데이터
Windows XP 이후 시스템은 사용자의 NTUSER.DAT에 아래의 키를 포함합니다.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
사용자의 프로그램 사용 기록을 저장하고 있습니다.
UserAssist 키에 저장된 어플리케이션 경로는 기본적으로 ROT13으로 인코딩(난독화, obfuscation)되어 있습니다.
이것은 일종의 대입 암호(substitution cipher)입니다.
위 ROT13 난독화는 아래의 DWORD 레지스트리 값을 1로 설정하면 비활성화 되긴 하나, 이렇게 설정하는 경우는 매우 드문 경우입니다.
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\Settings\NoEncrypt
ROT13 난독화된 경로명 해독하는 EnScript
Quick ROT13 Path Decoder EnScript
UserAssist 키의 엔트리 구조
Windows XP의 경우
Windows 7 이후 버전의 경우
Run count와 Run time을 기록할 뿐, focus count와 focus time에 대한 정보는 기록하지 않습니다.
종종 월말에 run count 정보가 주기적으로 리셋되기도 합니다.
User Assist 데이터를 쉽게 볼 수 있는 EnScript
UserAssist Registry Value Decoder EnScript
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Advanced Forensics
'EnCase' 카테고리의 다른 글
| [EnCase] 암호 분석 (2) (0) | 2022.06.29 |
|---|---|
| [EnCase] 암호 분석 (1) (0) | 2022.06.26 |
| [EnCase] 윈도우 레지스트리(Windows Registry) 심화 분석 (3) (0) | 2022.06.22 |
| [EnCase] 윈도우 레지스트리(Windows Registry) 심화 분석 (2) (0) | 2022.06.20 |
| [EnCase] 윈도우 레지스트리(Windows Registry) 심화 분석 (1) (0) | 2022.06.18 |