2021. 1. 15. 13:31
728x90
UserAssist
UserAssist에 대한 정보를 레지스트리에 별도로 보관
사용자가 실행한 프로그램에 대한 정보를 획득할 수 있음
사용자별 환경설정으로 NTUSER.DAT에 저장
실행된 프로그램 별로 실행 횟수와 마지막 실행된 시간등의 정보가 기록되어 있음
ROT 13으로 인코딩 되어있음
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
UserAssist 분석
분석방법 :
마지막 실행 시각이 부팅 시각과 유사한 프로그램을 확인
count가 1인 프로그램 중 의심되는 확장자 등을 가진 프로그램을 (Dropper일 가능성이 높음)확인
이동형 저장 매체에서 실행된 프로그램이 복사되어 실행된 흔적을 (USB를 통한 악성코드 감염 의심) 확인
728x90
'포렌식 > 컴퓨터' 카테고리의 다른 글
| MBR 확장 파티션의 개념 이해하기 (0) | 2021.04.13 |
|---|---|
| RDP(원격데스크톱 프로토콜)의 이벤트 ID 1149 에 대한 정보 (0) | 2021.01.20 |
| bat파일을 이용해 txt 문서 목록 파일들 복사하기 (0) | 2020.10.27 |
| 구글 드라이브 포렌식 기술 (0) | 2020.09.24 |
| gho 파일을 vmdk 파일로 변환하기 (0) | 2020.09.16 |