Önceki Serilerde İncelediğimiz Adli Bilişim Programları serisini devam ettiriyoruz. Bugün Sizlere UserAssist Programını Tanıtacağım.
UserAssist, Windows işletim sistemlerinde kullanıcıların hangi programları ne zaman ve ne sıklıkta çalıştırdığını ortaya çıkarmada kullanılan önemli bir adli bilişim artefaktıdır. Bu yapı, Windows Registry içinde yer alır ve özellikle olay sonrası incelemelerde kullanıcı davranışlarının analiz edilmesine imkân tanır. Adli bilişim uzmanları için UserAssist verileri, bir sistem üzerinde kullanıcı etkileşimini kanıtlayabilen kritik deliller arasında kabul edilir.
UserAssist anahtarları, genellikle NTUSER.DAT dosyası içinde bulunur ve kullanıcı bazlıdır. Bu sayede sistemde oturum açmış her kullanıcı için ayrı ayrı analiz yapılabilir. UserAssist kayıtları; çalıştırılan uygulamanın adı, çalıştırılma sayısı ve son çalıştırılma zamanı gibi bilgileri içerir. Ancak bu bilgiler doğrudan okunabilir halde tutulmaz; ROT13 adı verilen basit bir şifreleme yöntemiyle saklanır. Adli bilişim araçları bu verileri otomatik olarak çözümler ve analiz edilebilir hale getirir.
Bu artefaktın en büyük avantajı, kullanıcının gerçekten bir programı çalıştırıp çalıştırmadığını göstermesidir. Örneğin bir şüphelinin “bu programı hiç kullanmadım” iddiası, UserAssist kayıtları incelenerek doğrulanabilir veya çürütülebilir. Ayrıca zararlı yazılım incelemelerinde, malware’in kullanıcı tarafından mı yoksa otomatik olarak mı çalıştırıldığı konusunda önemli ipuçları sunar.
Sonuç olarak UserAssist, Windows adli bilişim analizlerinde kullanıcı aktivitelerini zaman çizelgesiyle ilişkilendiren, güvenilir ve tamamlayıcı bir delil kaynağıdır. Tek başına yeterli olmasa da, diğer registry ve log artefaktlarıyla birlikte kullanıldığında olayın aydınlatılmasına ciddi katkı sağlar.
.
Bu görsel, UserAssist 2.6.0.0 adlı adli bilişim aracının Windows işletim sisteminden elde ettiği UserAssist Registry kayıtlarını analiz ederken sunduğu tipik bir çıktıyı göstermektedir. UserAssist, Windows’ta bir kullanıcının hangi uygulamaları çalıştırdığını, bu uygulamaları ne zaman ve ne sıklıkla kullandığını ortaya koymak amacıyla kullanılan önemli bir inceleme aracıdır.
Ekranın üst bölümünde yer alan menüden, verilerin yerel registry’den, bir REG dosyasından ya da NTUSER.DAT gibi çevrimdışı kullanıcı profili dosyalarından yüklenebildiği görülmektedir. Bu özellik, hem canlı sistem incelemelerinde hem de disk imajı üzerinden yapılan adli analizlerde UserAssist’in etkin şekilde kullanılmasını sağlar.
Tablo kısmında listelenen her satır, çalıştırılmış bir uygulamayı veya Windows bileşenini temsil eder. Sol tarafta görülen uzun ve karmaşık isimler, UserAssist anahtarlarının registry içindeki GUID tabanlı yollarını ifade eder. Bu isimler arka planda ROT13 ile kodlanmış olup, araç tarafından otomatik olarak çözülerek okunabilir hale getirilmiştir. Örneğin chrome.exe, cmd.exe, powershell.exe, notepad++.exe gibi girdiler, kullanıcının bu uygulamalarla doğrudan etkileşime girdiğini göstermektedir.
“Counter” sütunu, ilgili uygulamanın kaç kez çalıştırıldığını; “Last” ve “Last UTC” sütunları ise uygulamanın en son ne zaman açıldığını yerel saat ve UTC formatında sunar. “Focus count” ve “Focus time” alanları, uygulamanın ne kadar süre aktif olarak ön planda kullanıldığını göstermesi açısından özellikle kullanıcı davranışı analizinde değerlidir.
Adli bilişim açısından bu tür bir çıktı, bir kullanıcının “programı hiç kullanmadım” iddiasını doğrulamak veya çürütmek için güçlü bir delil niteliği taşır. Ayrıca zararlı yazılım analizlerinde, şüpheli bir çalıştırmanın kullanıcı etkileşimiyle mi yoksa sistem tarafından mı başlatıldığını anlamaya yardımcı olur. Sonuç olarak bu ekran görüntüsü, UserAssist artefaktlarının olay zaman çizelgesi oluşturma ve kullanıcı aktivitesini kanıtlama konusundaki kritik rolünü net biçimde ortaya koymaktadır.
UserAssist aracındaki Commands menüsü, adli bilişim incelemesinde elde edilen verilerin nasıl yükleneceğini, nasıl işleneceğini ve nasıl dışa aktarılacağını belirleyen temel kontrol merkezidir. Bu menüde yer alan her seçenek, farklı bir analiz senaryosuna hizmet eder ve doğru kullanıldığında incelemenin doğruluğunu doğrudan etkiler.
Commands menüsündeki Load from local registry seçeneği, çalışmakta olan sistemin Windows Registry’sinden UserAssist verilerini doğrudan okur. Bu yöntem genellikle canlı sistem incelemelerinde tercih edilir. O an oturum açmış kullanıcıya ait program çalıştırma geçmişi hızlıca görüntülenebilir. Ancak bu yöntemde sistemde yapılan her işlem delil bütünlüğünü etkileyebileceğinden dikkatli olunmalıdır.
Load from REG file seçeneği, önceden dışa aktarılmış bir .reg dosyasının UserAssist tarafından analiz edilmesini sağlar. Bu özellik, olay yerinde alınan registry yedeklerinin daha sonra laboratuvar ortamında incelenmesine imkân tanır. Böylece inceleme, hedef sistemden bağımsız ve kontrollü bir ortamda gerçekleştirilebilir.
Load from DAT file (experimental) seçeneği ise NTUSER.DAT gibi kullanıcı profil dosyalarından UserAssist verilerini okumaya yöneliktir. Bu özellik özellikle disk imajı üzerinden yapılan offline adli analizlerde kritik öneme sahiptir. “Experimental” olarak işaretlenmesinin sebebi, bazı Windows sürümlerinde veri tutarlılığının değişkenlik gösterebilmesidir.
Menüde yer alan Highlight komutu, analiz sırasında dikkat edilmesi gereken satırların görsel olarak vurgulanmasını sağlar. Şüpheli uygulamalar, belirli tarih aralıkları veya kritik yürütülebilir dosyalar bu yöntemle kolayca ayırt edilebilir. Büyük veri setlerinde analistin iş yükünü ciddi biçimde azaltır.
Save seçeneği, elde edilen analiz sonuçlarının dosya olarak dışa aktarılmasını sağlar. Bu işlem genellikle raporlama aşamasında kullanılır ve delil dokümantasyonunun bir parçasıdır. Adli bilişim raporlarında, UserAssist çıktılarının ek olarak sunulması sıkça tercih edilir.
Clear All, ekranda yüklü olan tüm verileri temizler ve yeni bir analiz için aracı sıfırlar. Birden fazla kullanıcı profili veya farklı dosyalar üzerinde çalışırken karışıklığı önlemek açısından önemlidir.
Logging Disabled ve Load at Startup gibi seçenekler, aracın çalışma davranışını düzenler. Özellikle Load at Startup, UserAssist’in her açılışta otomatik yüklenmesini sağlayarak zamandan tasarruf sunar.
Son olarak Exit, uygulamadan güvenli şekilde çıkışı sağlar. Genel olarak değerlendirildiğinde Commands menüsü, UserAssist’in hem canlı sistem hem de çevrimdışı adli bilişim analizlerinde esnek, kontrollü ve delil odaklı kullanılmasını mümkün kılan temel bileşenlerden biridir.
Yorumlar
Yorum Yazma Kuralları
Yorumlarınız kendi sorumluluğunuzdadır. Yazacağınız Yorumlar ile birlikte IP adresinizde Kayıt Edilir.
Yorumlarda Lütfen Hakaret Küfür Kullanmayınız.
Yorum Yazın
Bu makaleye henüz yorum yapılmamış. İlk yorumu siz yapın!