🗣️ Introduction
Windows 운영 체제에서 사용자의 파일 실행 이력을 추적하고 분석하는 것은 시스템 및 사용자 관리, 보안, 패턴(사용추이 등)파악 등 다양한 목적에 도움이 됩니다. 특히, 침해사고 분야에서는 실행 이력을 통해 다양한 정보를 파악할 수 있습니다. 먼저, 침해사고 분석에서는 악성코드 실행 및 정보 유출 유무등 실행된 악성코드를 파악하고 분석하여 공격자가 어떤 행위를 수행하였는지에 대해 확인할 수 있습니다. 또한, 기업에서는 비인가 프로그램 실행 유무, 시스템 성능 저하와 관련된 문제를 확인하고 대처할 수 있게됩니다. 이러한 실행 이력은 Windows 시스템 내 다양한 아티팩트에서 확인이 가능하며, 이 글에서는 실행 이력과 관련된 주요 아티팩트들 중 "UserAssist" 대해 설명하고 분석에 활용하는 방안을 알아보고자 합니다.
🖥️ UserAssist
UserAssist는 Windows Registry에 위치한 항목으로, 사용자가 실행한 프로그램과 어플리케이션의 이력을 추적하고 저장합니다. 따라서, UserAssist를 통해 사용자의 활동 및 프로그램 사용 빈도 및 시간을 분석할 수 있습니다.
다만, UserAssist의 경우 사용자가 실행한 프로그램과 어플리케이션의 이력을 저장합니다. 즉, 프로그램이 자동으로 실행되거나 다른 프로그램에 의해 실행되는 경우에는 실행 이력이 UserAssist에 기록되지 않을 수 있습니다. 따라서, 시작 메뉴, 탐색기, 바탕화면에서 프로그램을 직접 실행할 때 해당 정보가 기록되게 됩니다.
👉 UserAssist 경로
NTUSER.DAT\Software\Microsoft\Windows\ CurrentVersion\Explorer\UserAssist\{GUID}\Count
여기서 주요하게 확인해야할 Key의 경우 두개인데, 아래와 같습니다.
1. CEBFF5CD~
- 해당 키의 경우, 사용자가 실행한 실행 파일의 실행 이력이 기록됩니다.
2. F45E57C4B~
- 해당 키의 경우, 사용자가 실행한 바로가기(.lnk) 파일의 실행 이력이 기록됩니다.
'공부 > Forensic' 카테고리의 다른 글
| AnyDesk를 통한 침해사고 로그 분석 (0) | 2023.04.18 |
|---|---|
| 아파치 모듈 백도어 기능 및 아티팩트 분석: Apache Mod_Backdoor operation method and Artifact analysis (0) | 2023.04.11 |
| MS-SQL 대상 공격 방식 중 하나인 CLR Assembly(Shell) 공격 : MS-SQL Attacks via the CLR as an alternative to xp_cmdshell (0) | 2023.04.11 |
| 디지털 포렌식의 일반원칙(디지털 포렌식 5원칙) (0) | 2021.02.19 |
| Digital Forensic / Incident Response (0) | 2021.01.21 |
