Blog

Produktmerkmale

Digitale Forensik: Artefakt-Profil – UserAssist

ANWENDUNGSNAME: UserAssist
KATEGORIE: Betriebssystem
ÄHNLICHE ARTEFAKTE: Kein
BETRIEBSSYSTEME: Windows
SPEICHERORT DER QUELLE:
NTUSER.DAT – SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\

Wichtigkeit für Ermittler

Windows enthält einige Registrierungseinträge unter UserAssist, mit deren Hilfe Ermittler sehen können, welche Programme kürzlich auf einem System ausgeführt wurden. Dies kann bei einer Ermittlung äußerst wertvoll sein, wenn ein Prüfer sehen möchte, ob eine bestimmte Anwendung ausgeführt wurde, z. B. ein Verschlüsselungs- oder Löschtool. Im Gegensatz zu Prefetch-Dateien enthalten die UserAssist-Daten Informationen darüber, ob eine Anwendung über eine Verknüpfung (LNK-Datei) oder direkt über die ausführbare Datei ausgeführt wurde. Dadurch erhalten die Ermittler zusätzliche Informationen über die Ausführung eines Programms.

Es gibt einige leichte Unterschiede bei der Ermittlung von UserAssist-Daten unter Windows XP und Vista+. Unter Windows XP wird ein Präfix angezeigt, das mit UEME_RUNCPL, RUNPATH oder ähnlichem beginnt. Das Präfix zeigt an, wie der Benutzer das Programm oder den Link ausgeführt hat. Einige der häufigsten und gehaltvollsten Präfixe sind:

RUNPATH – Daten über ausgeführte Programme

RUNCPL – Daten über ausgeführte Steuerungs-Applets (.cpl)

RUNPIDL – Daten über eine von einem PDIL ausgeführte Datei

In Windows Vista+ wurden die UEME-Präfixe entfernt, aber die Prüfer können immer noch wertvolle Daten aus dem UserAssist-Schlüssel gewinnen, der sich an der gleichen Stelle befindet.

UserAssist-Wiederherstellung mit Magnet Forensics

Die Magnet Forensics-Tools analysieren die UserAssist-Registrierungsdaten und dekodieren die ROT13-kodierten Daten, sodass die Prüfer den Dateinamen und -pfad, die Anzahl der ausgeführten Anwendungen, den zugehörigen Benutzer und das Datum und die Uhrzeit der letzten Ausführung des Programms erhalten.

Je nachdem, wie das Programm ausgeführt wurde, können Magnet Forensics Tools entweder den Pfad oder eine GUID/Pfad-Kombination für einen bestimmten Eintrag melden. Die Pfadangaben sind einfach und zeigen an, von wo aus ein Programm oder ein Link ausgeführt wurde, aber die GUID erfordert eine gewisse Interpretation. Diese GUIDs repräsentieren allgemeine Pfade auf einem System, wie z. B. den APPDATA-Ordner eines Benutzers, system32 oder andere Speicherorte, die üblicherweise zugeordnet werden. Die Magnet Forensics-Tools bilden diese GUIDs nicht für den Ermittler ab. Eine Liste der bekannten Ordner und ihrer zugehörigen GUID finden Sie auf dieser Microsoft-Seite: Bekannte Ordner-GUIDs für den Dateidialog Benutzerdefinierte Orte

Holo, transparent letter M

Magnet-News direkt in Ihren Posteingang

Melden Sie sich noch heute an, um direkt von Magnet Forensics über die neuesten Produktaktualisierungen, Branchentrends und Unternehmensnachrichten informiert zu werden.

Beginnen Sie noch heute mit der Modernisierung Ihrer digitalen Ermittlungen.

Nach oben