RSS

Paweł Goleń, blog

Zrzędzenie starego zgreda

Tuesday, February 26. 2008

Kto co kliknął, czyli więcej niż Prefetch

Pisałem ostatnio, że na podstawie dat plików w Prefetch (i pewnych informacji zaszytych w tych plikach), można ustalić jakie programy były kiedy uruchamiane. Teraz inny przykład pozyskiwania informacji o uruchamianych programach. Tajna wiedza znajduje się w kluczu UserAssist (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist).

O co chodzi?

Wraz z Windows 2000 system zaczął śledzić użytkownika. Nie po to, by złośliwie wysyłać dane do siedziby Microsoftu, ale po to, by lepiej się dostosować do zwyczajów użytkownika. Na przykład po to, by w sensowny sposób dostosować prezentowaną użytkownikowi listę programów. Dane na temat uruchamianych programów muszą być oczywiście gdzieś umieszczane. Ponieważ jest to śledzenie "per user", stąd klucz HKCU, a ponieważ śledzi Explorer, to reszta ścieżki staje się chyba jasna.

HRZR_EHACNGU... co jest, ROT13?

Tak, tam jest wykorzystany rot13. Konkretnie nazwy zapisanych wartości "zaciemnione" są (bo o szyfrowaniu trudno tu mówić) za pomocą rot13.

Ale co tam jest zawarte?

Każdej wartości towarzyszą binarne dane. Ciężko z nich coś wyciągnąć? Nie do końca, wystarczy skorzystać z tego prostego narzędzia. Można tam zresztą znaleźć dokładniejsze opisy tego, co jest zawarte w kluczu UserAssist. W tym przypadku podchodzę do sprawy w bardzo użytkowy sposób - ktoś to przeanalizował, dostarczył narzędzie. Korzystam z niego, ale nie specjalnie interesuje mnie co jest na poszczególnych bitach danej wartości.

W każdym razie z przydatnych informacji, można odczytać:

  • nazwę (ścieżkę) uruchamianej aplikacji,
  • ilość uruchomień danej aplikacji,
  • datę ostatniego uruchomienia,

Narzędzie to może być przydatne na przykład wtedy, gdy "ofiara" zarzeka się, że to coś samo się zainstalowało. Po przejrzeniu historii może się nagle okazać, że wcale nie samo, tylko wspomniana "ofiara" sama to coś uruchomiła.

Ślady
I Know What You Did Last Summer
Tym razem kontynuacja wpisu (Prawie) każde szyfrowanie można złamać, która dotyczy śladów, jakie pozostawiają w systemie Windows narzędzia do szyfrowania. Konkretnie dwa: TrueCrypt oraz FreeOTFE, przy czym w przypadku FreeOTFE skupię się na FreeOTFE Explo
Weblog: Wampiryczny blog
Przesłany: Mar 09, 07:35
Komentarze
Brak komentarzy
Dodaj komentarz
Zamknięcie tekstu w znakach gwiazdki spowoduje jego wytłuszczenie (*tekst*), podkreślenia są tworzone przez zastosowanie _tekst_.
Standardowe emotikony jak :-) lub ;-) będą zmieniane na ich graficzną wersję.
Adresy e-mail nie będą pokazywane i będą używane tylko do celów wysyłania powiadomień drogą e-mailową
 
 

UWAGA: uprzedzam, że wszelki spam komentarzowy będzie cięty bez litości.

 

RSS dla komentarzy: ten artykuł | wszystkie komentarze

Najnowsze wpisy

Jak powstaje elektrozłom
Sunday, 21 July 2024
Cluster
Monday, 15 July 2024
Sponsorem przebudowy placu zabaw jest...
Sunday, 30 June 2024
Po lewej stronie drogi
Sunday, 19 May 2024
Nie lubię, gdy jest płasko
Sunday, 18 February 2024
Nowy iPad - wrażenia z przesiadki
Wednesday, 24 January 2024
Jak nie wiesz, to nie wiesz
Sunday, 14 January 2024
Z microk8s na k3s
Wednesday, 8 November 2023
Rajesh Penetrator
Saturday, 2 September 2023
random(random())
Tuesday, 1 August 2023

Losowe wpisy

Robienie (sobie) herbaty to nie jest proste zadanie
Thursday, 18 June 2009
Sobota w Gorcach
Sunday, 14 May 2006
Warto się wylogować
Wednesday, 27 October 2010
Zadanie: pobierz P2 eXplorer bez zostawiania danych
Tuesday, 15 February 2011
Bo zwalniać (...) - rozwinięcie
Sunday, 23 November 2008
Kapcie z nóg... czyli po co podpisywać programy
Thursday, 13 September 2007
Tajemnicza płytka, czyli nie mogę przeczytać książki normalnie
Saturday, 10 January 2009
Łamanie haseł: Nasza-Klasa vs. Allegro (i reszta świata)
Sunday, 20 September 2009
SPIN: o bezpieczeństwie w listopadzie
Thursday, 28 October 2010
Dysk i słona woda
Monday, 1 February 2010