Userassist Artifacts

* TIP 글은 Case 분석 시 참고할만한 내용 혹은 분석 과정에서 발견한 흔적에 대해 실험하고 연구한 내용을 간단히 작성한 글입니다.
This post is related case study or DFIR artifacts research.

* 본 글에서 상세한 내용은 언급되지 않습니다. 자세한 내용은 junhyeong.lee@plainbit.co.kr 메일로 연락 주시면 감사하겠습니다.
This post is so simple, If you are interested contact to me(junhyeong.lee@plainbit.co.kr)

TIP!

본 내용은 내부 발표 자료 중 일부를 발췌 한 것입니다.
This is an excerpt of some of the internal presentation materials.

UserAssist 기록은 사용자가 실행한 프로그램 흔적을 확인할 수 있는 대표적인 아티팩트입니다.
The UserAssist record is a representative artifact that allows you to check the traces of a program executed by a user.

UserAssist 레지스트리 키의 기록은 사용자가 Explorer를 통해 실행한 프로그램만 기록된다고 알려져 있습니다.
It is known that the history of the UserAssist registry key is recorded only by programs that you run through Explorer.

본 실험 결과의 요약은 아래와 같습니다.
The summary of the results of this experiment is as follows.

  1. explorer.exe 프로세스가 직접적으로 실행한 프로세스만 UserAssist 키에 기록됩니다. (간접적으로 실행 시 기록 안됨)
    Only processes executed directly by the explorer.exe process are logged in the UserAssist key (not recorded when executed indirectly)

  1. 실행시간이 기록되지 않은 실행 기록은 대부분 실행 시점에 focus가 잡히지 않은 실행 기록입니다.
    An execution record that does not record an execution time is mostly an execution record that does not focus at the time of execution.

  1. 서비스, 작업스케줄러를 이용한 프로세스 실행 이력도 기록됩니다.
    The history of the execution of the process using the Service, Job Scheduler is also recorded.

* 본 실험은 정현우 연구원과 함께 진행했습니다.
This experiment was conducted with Analyst Chung Hyeon-woo.