UserAssist
소개[편집]
UserAssist는 Didier Stevens가 무료로 제공하는 응용 프로그램 사용 흔적 분석 도구로, 최신 버전은 2.4.3이다. UserAssist는 Windows에서 실행 가능하며, 레지스트리에 저장된 UserAssist 키를 파싱해서 보여주는 GUI 도구이다. 레지스트리의 UserAssist에는 시스템에 실행되었던 응용 프로그램의 목록과 실행횟수 정보가 있다. UserAssist의 출력 결과는 TXT, HTML 파일로 저장할 수 있다. UserAssist 실행 화면은 [그림 1]과 같다.
사용법[편집]
UserAssist를 실행하면 현재 시스템의 레지스트리에서 UserAssist 키에 있는 내용을 자동으로 파싱해온다. 레지스트리의 UserAssist 키 경로는 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist이다. 또는 Commands탭의 Load from REG file을 선택하면, 레지스트리 편집기에서 내보내기 하여 만든 reg파일을 불러올 수 있다.
도구 기능[편집]
UserAssist가 파싱하는 주요 정보는 [표 1]과 같다.
| 항목 | 설명 |
|---|---|
| Key | UserAssist의 하위 키 |
| Index | 레지스트리 내 값들의 순서 |
| Name | 실행된 프로그램 |
| Session | 세션 ID |
| Counter | 프로그램이 실행된 횟수 |
| Last | 프로그램이 실행된 최종 시간 |
| Last UTC | 프로그램이 실행된 최종 시간(UTC) |
Commands탭의 Highlight에서는 파싱한 결과에서 텍스트 검색을 하여 조건에 맞는 행에 빨간색으로 색칠을 해준다. Commands탭의 Clear All는 UserAssist의 하위키를 삭제해서 응용 프로그램 실행 흔적을 지운다.
또한 Commands탭의 Logging Disabled 기능을 사용하면, 레지스트리의 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\Settings\NoLog를 1로 설정함으로써 UserAssist 키에 응용 프로그램 실행에 대한 로그를 남기지 않도록 할 수 있다.
제한사항[편집]
UserAssist는 Windows XP에서는 정상적으로 작동하지만 Windows 7, Windows 8에서는 결과 값을 분석하지 못한다.
수사 활용 방안[편집]
UserAssist는 최신 버전의 Windows의 UserAssist 레지스트리 목록을 분석하지 못하기 때문에 수사에 활용하기에 어려움이 있다.
