X-Ways Forensics

실무 활용 매뉴얼

UserAssist 분석 [ by 김종광 ]

UserAssist 파일 분석
UserAssist 파일을 분석하기 위해 OS가 설치되어있는 파티션을 선택합니다.

UserAssist 파일 분석
화면의 순서대로 경로를 이동하여 NTUSER.DAT 파일을 확인합니다.

UserAssist 파일 분석
Hive 파일 분석을 위해 위 순서대로 View 옵션을 실행합니다.

UserAssist 파일 분석
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 폴더로 이동합니다.

UserAssist 파일 분석
Windows7/8/10의 경우
{ CEBFF5CD-ACE2-4F4F-9178-9926F41749EA } / { F4E57C4B-2036-45F0-A9AB-443BCFE33D9F }
2개 디렉토리에 UserAssist 파일을 확인할 수 있습니다.

UserAssist 파일 분석
W사용자가 최근에 실행한 응용프로그램 목록을 확인할 수 있습니다.

  • 1. 최근에 실행된 응용프로그램 목록 ROT13 으로 인코딩 되어있습니다.

  • 2. 선택한 파일에 대해 ROT 13 인코딩을 복호화 하여 응용프로그램 실행시간, 실행 횟수, 이름 등 정보를 확인할 수 있습니다.