توییت
ما بهعنوان اعضای تیم جهانی واکنش اضطراری (GERT)، روزانه با آرتیفکتهای دیجیتال برای انجام تحقیقات امنیتی سر و کار داریم. یکی از ارزشمندترین این آرتیفکتها، UserAssist است که اطلاعات مفیدی درباره اجرای برنامهها در سیستم عامل ویندوز ارائه میدهد. این اطلاعات به ما کمک میکند تا فعالیتهای مخرب را شناسایی، ردگیری و تحلیل کنیم و در بسیاری از موارد به کشف نمونههای بدافزاری منجر میشود.
با وجود اهمیت این آرتیفکت، تحلیل عمیق و جامعی از آن تاکنون منتشر نشده است. بسیاری از جنبههای مربوط به نحوه ثبت، تفسیر دادهها، شرایط و محرکهای لاگبرداری UserAssist هنوز مبهم هستند. این مقاله با هدف رفع این ابهامات، به تحلیل دقیق UserAssist میپردازد.
در این مقاله، موارد زیر بررسی خواهند شد:
این تحلیل به محققان، متخصصان تحلیل بدافزار و تیمهای پاسخگویی کمک میکند تا درک بهتری از رفتار کاربران و مهاجمان در سیستمهای ویندوزی بهدست آورند و از UserAssist بهعنوان یک ابزار کلیدی در تحلیلهای خود استفاده کنند.
با وجود اهمیت این آرتیفکت، تحلیل عمیق و جامعی از آن تاکنون منتشر نشده است. بسیاری از جنبههای مربوط به نحوه ثبت، تفسیر دادهها، شرایط و محرکهای لاگبرداری UserAssist هنوز مبهم هستند. این مقاله با هدف رفع این ابهامات، به تحلیل دقیق UserAssist میپردازد.
در این مقاله، موارد زیر بررسی خواهند شد:
- نحوه ایجاد و بهروزرسانی دادههای UserAssist
- ساختار مقدار UEME_CTLSESSION و نقش آن در ثبت فعالیتها
- معرفی ساختار دادهای جدید و ناشناختهای از UserAssist که تاکنون مستند نشده بود
این تحلیل به محققان، متخصصان تحلیل بدافزار و تیمهای پاسخگویی کمک میکند تا درک بهتری از رفتار کاربران و مهاجمان در سیستمهای ویندوزی بهدست آورند و از UserAssist بهعنوان یک ابزار کلیدی در تحلیلهای خود استفاده کنند.
