Criminalistique numérique : Profil d’artéfact – UserAssist
NOM DE L’APPLICATION : UserAssist
CATÉGORIE : Système d’exploitation
ARTÉFACTS CONNEXES : Aucun
SYSTÈMES D’EXPLOITATION : Windows
EMPLACEMENT DE LA SOURCE :
NTUSER.DAT – SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\
Importance pour les enquêteurs
Windows contient un certain nombre d’entrées de registre sous UserAssist qui permettent aux enquêteurs de voir quels programmes ont récemment été exécutés sur un système. Cela peut être extrêmement utile dans une enquête où un examinateur souhaite voir si une application particulière a été exécutée, comme un outil de chiffrement ou d’effacement. Contrairement aux fichiers de prérécupération, les données UserAssist contiendront des informations indiquant si une application a été exécutée à partir d’un raccourci (fichier LNK) ou directement depuis l’exécutable. Cela offre plus de contexte aux examinateurs quant à l’exécution d’un programme.
Il existe de légères différences entre l’examen de données UserAssist sur Windows XP et sur Vista+. Sur Windows XP, vous verrez un préfixe commençant par UEME_RUNCPL, RUNPATH ou quelque chose de similaire. Le préfixe permettra d’indiquer comment l’utilisateur a exécuté le programme ou le lien. En général, certains des préfixes les plus courants et les plus utiles sont les suivants :
RUNPATH – Données relatives aux programmes exécutés
RUNCPL – Données relatives aux applets de contrôle exécutés (.cpl)
RUNPIDL – Données relatives à un fichier exécuté à partir d’un PDIL
Dans Windows Vista+, les préfixes UEME ont été supprimés, mais les examinateurs peuvent toujours obtenir de précieuses données depuis la clé UserAssist qui se trouve au même emplacement.
Récupération UserAssist avec Magnet Forensics
Les outils Magnet Forensics analyseront les données de registre UserAssist et décoderont les données chiffrées ROT13, fournissant aux examinateurs le nom et le chemin d’accès du fichier, le nombre d’exécutions d’applications, l’utilisateur associé et la date/l’heure à laquelle le programme a été exécuté pour la dernière fois.
Selon la façon dont le programme a été exécuté, les outils Magnet Forensics peuvent indiquer le chemin d’accès ou une combinaison GUID/chemin d’accès pour une entrée donnée. Les entrées de chemin sont simples et permettent d’indiquer l’emplacement à partir duquel un programme ou un lien a été exécuté, mais le GUID requiert une certaine interprétation. Ces GUID représentent des chemins communs sur un système, comme le dossier APPDATA d’un utilisateur, system32 ou d’autres emplacements qui sont couramment mappés. Les outils Magnet Forensics ne mappent pas ces GUID pour l’examinateur. Pour consulter la liste des dossiers connus et de leurs GUID associés, veuillez consulter cette page Microsoft : GUID de dossier connu pour les emplacements personnalisés de boîte de dialogue de fichier
