Analisis forense de UserAssist

Para saber cuantas veces el usuario al que pertenece el ordenador ejecuta una aplicación un metodo rápido a  simple vista consiste en ver sobre el lado izquierdo del menu de inicio las aplicaciones que ha ejecutado, de esta forma podemos deducir que aplicaciones ejecuta, pero sigo sin saber cuantas veces lo ha hecho

Aparte de los muchos otros métodos que puede haber, hoy nos centraremos en una clave del registro que no esta documentada por Microsoft. Estamos hablando del UserAssist.

En un principio el userassist es una clave del registro que contiene una lista de programas que con frecuencia aparecen en el menú de inicio.

Si nos vamos al registro de Windows nos encontramos que la clave siguiente contiene toda la información que buscamos pero con una sorpresa, esta cifrada.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

log11

La pregunta es curiosa ¿porque Microsoft cifra el userassist?. ¿Es de vital importancia el proteger esta información?, yo creo que no.

Buscando en Mr Google  existen muchas referencias que indican que la clave está cifrada por el alogaritmo ROT13. Este es un sencillo cifrado César utilizado para ocultar un texto sustituyendo cada letra por la letra que está trece posiciones por delante en el alfabeto. A se convierte en N, B se convierte en O y así hasta la M, que se convierte en Z. Luego la secuencia se invierte: N se convierte en A, O se convierte en B y así hasta la Z, que se convierte en M.

Por lo tanto vamos a desencriptar esta clave, como hemos hecho anteriormente vamos a Google en busca de un script que nos facilite la tares. 

;;Author: Kostic Dejan
;;Date: 07.04.2006

Gui, Add, ListView, vLst w700 h500 altsubmit, Path|Name|Data Loop,HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\count

{
RegRead, rval
LV_Add(“”,”{5E6AB780-7743-
11CF-A12B-00AA004AE837}”,a_
loopregname,rval)
}
Loop,HKCU, Software\Microsoft\Windows\
CurrentVersion\Explorer\UserAssist\{75048700-EF1F-
11D0-9888-006097DEACF9}\count
{
RegRead, rsv
LV_Add(“”,”{75048700-EF1F-
11D0-9888-006097DEACF9}”,a_
loopregname,rsv)
}
Gui,add,button,gdec,&Decrypt
Gui, Show
LV_ModifyCol(1,”100″)
LV_ModifyCol(2,”485″)
LV_ModifyCol(3,”100″)
return

dec:
SetBatchLines,-1
LV_Delete()
SplashImage,,b1 c1,,Decrypting`nPlease wait…
Loop,HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\count
{
RegRead, rval
d2:=StringMod(a_loopregname,
26-13)
LV_Add(“”,”{5E6AB780-7743-
11CF-A12B-00AA004AE837}”,d2,
rval)
}
Loop,HKCU, Software\Microsoft\Windows\
CurrentVersion\Explorer\UserAssist\{75048700-EF1F-
11D0-9888-006097DEACF9}\count
{
RegRead, rsv
d3:=StringMod(a_loopregname,
26-13)
LV_Add(“”,”{75048700-EF1F-
11D0-9888-006097DEACF9}”,d3,
rsv)
}
SplashImage,off
return

StringMod(_string, _chars=””) ;made by PhiLho, adapted by me
{
Loop Parse, _string
{
char := Asc(A_LoopField)
o := Asc(“A”) * (Asc(“A”) <= char && char <= Asc(“Z”)) + Asc(“a”) * (Asc(“a”) <= char && char <= Asc(“z”)) If (o > 0)
{
char := Mod(char – o + _chars, 26)
char := Chr(char + o)
}
Else
{
char := A_LoopField
}
rStr := rStr char
}
Return rStr
}

GuiClose:
ExitApp

Para ejecutarlo deberemos de instalarnos una herramienta interprete y generadora de scripts llamada ‘AutoHotKey’ y una vez ejecutado este es el resultado.

log2

Como vemos en la imágen es interesante la desencriptación, pero realmente sigue sin decirnos nada. Pero recurriendo a nuestro querido Google me entro que existe una herramienta que realiza este proceso por nosotros.

Estamos hablando de UserAssist de Didier Stevens.

Esta herramienta esta pensada para el análisis forense, cumple su cometido a la perfección, no solo desencripta si no que además cuenta las sesiones, número de veces que se ha ejecutado y fechas de acceso; ideal para lo que estoy buscando.

Una vez descargado el programa desde aquí y ejecutado muestra lo siguiente

log3
Si nos fijamos, en la pantalla tenemos los programas con sus ejecuciones y la ultima fecha en que lo ejecutaron.

A continuación solo tendremos que revisar los logs del sistema, buscando las fechas de inicio de sesión para cuadrar los días y el usuario que lo ejecuto.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: