Descubriendo qué programas fueron ejecutados en WindowsSe publicó una nueva herramienta llamada UserAssist que nos permite visualizar una lista de los programas que fueron ejecutados en un sistema Windows, junto a la cantidad de veces que cada programa se ejecutó, y la última fecha y hora de utilización.
Windows Explorer suele mostrar esta información en la parte izquierda del Start menu de XP, y la lista de los programas usados frecuentemente es guardada en la Registry de Windows bajo la siguiente key:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ UserAssist
Cuando UserAssist es ejecutado descifra los datos de la Registry y los visualiza como vemos a continuación:
Sin dudas esta pequeña herramienta puede aportar información muy importante a cualquier examinador forense.
Su autor, Didier Stevens, publicó UserAssist junto al código fuente del programa en su website. Para poder utilizar UserAssist, primero hay que tener instalado el .NET Framework 2.0 runtime.
Publicado por KungFooSion en 16:28
en: http://www.kungfoosion.com/2007/08/descubriendo-qu-programas-fueron.html
Índice 
