reg-user-assists

NTUSER 레지스트리 하이브 파일에서 UserAssist 레지스트리 데이터를 조회합니다. UserAssist는 Windows 탐색기에서 사용자가 실행한 프로그램의 실행 횟수, 포커스 시간, 마지막 실행 시각 등의 정보를 기록합니다.

명령어 속성

항목설명
명령어 유형드라이버 쿼리
필요 권한클러스터 관리자
라이선스 사용량집계함
병렬 실행미지원
분산 실행수집 노드에서 실행 (mapper)

문법

reg-user-assists [zipcharset=STR] [zippath=STR] FILE_PATH

옵션

zipcharset=STR
ZIP 파일 엔트리의 문자 인코딩. IANA 문자 집합 레지스트리에 등록된 Preferred MIME Name이나 Aliases를 사용합니다. (기본값: utf-8)
zippath=STR
ZIP 파일 경로. 이 옵션을 지정하면 ZIP 파일 내부의 레지스트리 하이브 파일을 대상으로 조회합니다.

대상

FILE_PATH
NTUSER 레지스트리 하이브 파일 경로. 와일드카드(*)를 사용하면 패턴과 일치하는 모든 파일을 한 번에 조회할 수 있습니다.

출력 필드

필드타입설명
_file문자열레지스트리 하이브 파일 이름
key문자열프로그램 경로 또는 이름. ROT13으로 디코딩되며, 알려진 GUID는 실제 경로로 변환됩니다.
session_num32비트 정수세션 번호
exec_count32비트 정수실행 횟수. Windows Vista 이전 버전에서는 내부 카운터에서 5를 뺀 값입니다.
focus_time32비트 정수포커스 시간 (밀리초). Windows Vista 이상에서만 제공됩니다.
last_execution날짜마지막 실행 일시
last_written날짜레지스트리 키의 마지막 쓰기 시각

오류 코드

파싱 오류

해당 사항 없음

런타임 오류

해당 사항 없음

설명

reg-user-assists 명령어는 NTUSER 레지스트리 하이브 파일에서 Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 키 하위의 Count 값을 읽어 UserAssist 항목을 파싱합니다. 다음 GUID 경로에서 데이터를 수집합니다:

  • {75048700-EF1F-11D0-9888-006097DEACF9} — 활성 데스크톱
  • {5E6AB780-7743-11CF-A12B-00AA004AE837} — Internet Explorer 도구 모음
  • {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA} — 실행 파일 추적
  • {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F} — 바로 가기 추적

UserAssist 레지스트리 값 이름은 ROT13으로 인코딩되어 있으며, 명령어가 자동으로 디코딩합니다. 또한 알려진 Windows GUID(예: {374DE290-123F-4565-9164-39C4925E467B})는 실제 폴더 경로(예: %USERPROFILE%\Downloads)로 변환합니다.

Windows Vista 이상에서는 72바이트 이상의 레코드 형식을 사용하며, 포커스 시간(focus_time) 필드가 추가로 제공됩니다. 이전 버전에서는 실행 횟수에서 내부 오프셋 값 5를 차감하여 실제 실행 횟수를 반환합니다.

디지털 포렌식에서 UserAssist 분석은 사용자가 실행한 프로그램 목록, 실행 빈도, 마지막 실행 시각을 확인하는 데 활용됩니다.

이 명령어는 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요하며, 접근 가능한 파일 경로가 제한됩니다. 자세한 내용은 파일 접근 제한을 참고하세요.

사용 예

각 사용 예의 파일 경로는 ALLOWED_FILE_SCAN_PATHS 설정에 포함되어 있다고 가정합니다.

  1. NTUSER 하이브 파일에서 UserAssist 조회

    reg-user-assists D:\evidence\NTUSER.DAT

    지정한 NTUSER 레지스트리 하이브 파일에서 프로그램 실행 이력을 조회합니다.

  2. ZIP 파일 내의 NTUSER 하이브 파일 조회

    reg-user-assists zippath=D:\evidence\registry.zip NTUSER.DAT

    ZIP 파일 내부의 NTUSER 레지스트리 하이브 파일에서 프로그램 실행 이력을 조회합니다.

  3. 마지막 실행 일시 기준으로 정렬

    reg-user-assists D:\evidence\NTUSER.DAT
| sort -last_execution

    프로그램 실행 이력을 마지막 실행 일시 기준으로 내림차순 정렬하여 가장 최근에 실행한 프로그램부터 조회합니다.

  4. 실행 횟수가 많은 프로그램 조회

    reg-user-assists D:\evidence\NTUSER.DAT
| search exec_count > 10
| sort -exec_count

    실행 횟수가 10회를 초과하는 프로그램을 실행 횟수 기준으로 내림차순 정렬합니다.

  5. 와일드카드를 사용한 다중 파일 조회

    reg-user-assists D:\evidence\*\NTUSER.DAT

    와일드카드 패턴과 일치하는 모든 NTUSER 하이브 파일에서 프로그램 실행 이력을 조회합니다.

호환성

reg-user-assists 명령어는 소나 4.0 이전 버전부터 제공되었습니다. 4.0.2511.0 버전부터 클러스터 관리자 권한이 필요합니다.