Blog

Produktmerkmale

Digitale Forensik: Artefakt-Profil – UserAssist

ANWENDUNGSNAME: UserAssist
KATEGORIE: Betriebssystem
ÄHNLICHE ARTEFAKTE: Kein
BETRIEBSSYSTEME: Windows
SPEICHERORT DER QUELLE:
NTUSER.DAT – SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\

Wichtigkeit für Ermittler

Windows enthält einige Registrierungseinträge unter UserAssist, mit deren Hilfe Ermittler sehen können, welche Programme kürzlich auf einem System ausgeführt wurden. Dies kann bei einer Ermittlung äußerst wertvoll sein, wenn ein Prüfer sehen möchte, ob eine bestimmte Anwendung ausgeführt wurde, z. B. ein Verschlüsselungs- oder Löschtool. Im Gegensatz zu Prefetch-Dateien enthalten die UserAssist-Daten Informationen darüber, ob eine Anwendung über eine Verknüpfung (LNK-Datei) oder direkt über die ausführbare Datei ausgeführt wurde. Dadurch erhalten die Ermittler zusätzliche Informationen über die Ausführung eines Programms.

Es gibt einige leichte Unterschiede bei der Ermittlung von UserAssist-Daten unter Windows XP und Vista+. Unter Windows XP wird ein Präfix angezeigt, das mit UEME_RUNCPL, RUNPATH oder ähnlichem beginnt. Das Präfix zeigt an, wie der Benutzer das Programm oder den Link ausgeführt hat. Einige der häufigsten und gehaltvollsten Präfixe sind:

RUNPATH – Daten über ausgeführte Programme

RUNCPL – Daten über ausgeführte Steuerungs-Applets (.cpl)

RUNPIDL – Daten über eine von einem PDIL ausgeführte Datei

In Windows Vista+ wurden die UEME-Präfixe entfernt, aber die Prüfer können immer noch wertvolle Daten aus dem UserAssist-Schlüssel gewinnen, der sich an der gleichen Stelle befindet.

UserAssist-Wiederherstellung mit Magnet Forensics

Die Magnet Forensics-Tools analysieren die UserAssist-Registrierungsdaten und dekodieren die ROT13-kodierten Daten, sodass die Prüfer den Dateinamen und -pfad, die Anzahl der ausgeführten Anwendungen, den zugehörigen Benutzer und das Datum und die Uhrzeit der letzten Ausführung des Programms erhalten.

Je nachdem, wie das Programm ausgeführt wurde, können Magnet Forensics Tools entweder den Pfad oder eine GUID/Pfad-Kombination für einen bestimmten Eintrag melden. Die Pfadangaben sind einfach und zeigen an, von wo aus ein Programm oder ein Link ausgeführt wurde, aber die GUID erfordert eine gewisse Interpretation. Diese GUIDs repräsentieren allgemeine Pfade auf einem System, wie z. B. den APPDATA-Ordner eines Benutzers, system32 oder andere Speicherorte, die üblicherweise zugeordnet werden. Die Magnet Forensics-Tools bilden diese GUIDs nicht für den Ermittler ab. Eine Liste der bekannten Ordner und ihrer zugehörigen GUID finden Sie auf dieser Microsoft-Seite: Bekannte Ordner-GUIDs für den Dateidialog Benutzerdefinierte Orte

Verwandte Ressourcen

Blog

Blog

Analyse von Graykey-Bildern mit Axiom: Neue Ergänzungen der KnowledgeC-Datenbankartefakte

In den letzten Versionen von Magnet Axiom haben wir neue Artefakte hinzugefügt, die auf iOS-Dateisystem-Images zu finden sind, vor allem wenn Ermittler Zugriff auf Tools wie GrayKey haben. Mit der

June 23, 2022 • Etwa 3 Minuten Lesedauer
Blog

Blog

Analytik in Magnet Axiom

Die Analytikwerkzeuge von Magnet Axiom sollen fallrelevante Beweise automatisch zutage fördern, sodass Sie Einblicke und Informationen schnell und einfach erlangen. Mit Tools wie dem Media Explorer, Cloud Insights Dashboard, Connections

June 22, 2022 • Etwa 7 Minuten Lesedauer
Blog

Blog

Magnet OUTRIDER 2.0: Vergleich der Scan-Geschwindigkeit, Feature-Deep-Dive und mehr

Befassen wir uns mit den Leistungssteigerungen, die Kunden sehen, sowie mit den neuen Artefakten und Funktionen, die in dieser Version enthalten sind.

June 6, 2022 • Etwa 4 Minuten Lesedauer
Ressourcen-Center Startseite
Holo, transparent letter M

Subscribe today to hear directly from Magnet Forensics on the latest product updates, industry trends, and company news.

Beginnen Sie noch heute mit der Modernisierung Ihrer digitalen Ermittlungen.

Nach oben