User Assist Key Nedir?
User Assist Key Analysis; genellikle adli bilişim ve siber güvenlik alanlarında karşımıza çıkan bir teknik terimdir. Windows tabanlı işletim sistemlerinde, kullanıcıların çalıştırdıkları uygulamalar ve dosyalar hakkında bilgi toplayıp depolayan bir kayıt defteridir. “UserAssist” anahtarların analizi sayesinde, kullanıcıların hangi uygulamaları ne zaman ve kaç kez çalıştırdığı analiz edilir.
UserAssist anahtarları temelde şu üç özelliği içerir;
- Uygulamanın Yolu
- Son çalıştırılma zamanı
- Çalıştırma Sayısı
Bu temel üç bilgi sayesinde; kullanıcıların faaliyetleri analiz edilir. Bu analizler sonucunda; kullanıcının zararlı içerik barındıran uygulamları çalıştırıp, çalıştırmadığını, belirli zamanlarda ki davranışlarını ve dijital deliller elde etmek için kullanılır.
UserAssist Bilgileri Nerede Tutulur?
UserAssist bilgileri, Windows Kayıt Defteri’nde (regedit) içerisinde aşağıda ki yolda tutulur;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Yerel dosya olarak ise;
C:\Users\Kullanıcıadı\NTUSER.DAT
Her kullanıcı için ayrıca tutulan bu bilgiler, kullanıcı oturum açtığında yüklenir.
Bu anahtar altında ise CLSID (Class Idenifier) parametresi bulunur. Bu parametrelerde unit dediğimiz benzersiz bir tanımlayıcılar bulunur ve bu tanımlayıcılar içerisinde şifreli bir şekilde kullanıcı tarafından çalıştırılan uygulamaların yukarıda bahsettiğimiz verileri tutulur.
Peki Nasıl Analiz Edilir?
UserAssit verilerini okuyup, analiz edebilmek için harici uygulamalara ihtiyacınız vardır. Bunlardan bazılarının isimlerini aşağıda bulabilirsiniz;
- UserAssistView (NirSoft)
- Registry Explorer (Eric Zimmerman’s Tool)
- Regripper
- Windows Forensic Environment
- Sleuth Kit & Autopsy