Windows hangi programı ne zaman kullandığımızı, kaç kere çalıştırdığımızı takip ediyor mu?

1 post / 0 new
Windows hangi programı ne zaman kullandığımızı, kaç kere çalıştırdığımızı takip ediyor mu?

Windows hangi programı ne zaman kullandığımızı, kaç kere çalıştırdığımızı takip ediyor mu?
Evet, ediyor.
Bilgi işlem güvenliği ile ilgili konularda konuşulan konulardan biridir.
"Windows her yaptığımızı izliyormuş, doğru mu?" denir.
Bir anlamda doğru.
Microsoft Windows programının içindeki registry kaydında “UserAssist” isminde bir bölüm vardır.
Bu alanda hangi windows programı bilgisayarınıza ne zaman kurulmuş, en son ne zaman çalıştırmışsınız, kaç kere kullanmış - çalıştırmışsınız bunun kaydı tutulur.
Biraz hassas bir konu olduğu için bu bilgiler normal incelemelerde göze batmasın diye şifrelenmiştir.
Detaylı açıklama internetteki bir siteden aldığım bilgilere göre şöyle:

Tracking frequency and last date of software usage in Registry

This post is regarding the examination of “UserAssist” key in the registry. Following is some background about UserAssist Key first.
The UserAssist key in the registry is used to keep track of recency and frequency of usage of particular software. Windows uses this data with a magic formula to display particular softwares in the program bar.
UserAssist key is located at HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist. Under this key there are two subkeys starting with 5E6… and 750… If IE7 is installed, another subkey can also be found starting with 0D6… The key with interesting data is 750…
The Count subkey of HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\750… contains data that we are interested in. A typical record would look like as follows:

Name: HRZR_EHACNGU:P:\Cebtenz Svyrf\Nqbor\Ernqre 9.0\Ernqre\NpebEq32.rkr    

Type: REG_BINARY  

Data: 24 00 00 00 17 00 00 00  30 F5 F5 23 43 0A CC 01

The name part is the name of the software but is encoded using ROT-13 encoding. This can be decoded using ROT13 Javascript decoder. The decoded value is UEME_RUNPATH:C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe.
The last 8 bytes in the Data is Windows 64 byte date which can be decoding using Date Decoder. This date comes as Wed, 04 May 2011 10:07:56 UTC
The last part that is the count of usage is given by 4 bytes preceding the 8 bytes given by date. The value 17 00 00 00 is in hexadecimal and hence first needs to be converted to decimal which comes as 23 times.  Due to some reason Windows initializes this count with 6 for the first time you launch and hence when calculating the actual count. So the actual count is 23 – 5 = 18.
 

Çevirisini yapmadım. Anlayamayanlar olursa çevirisini ekleyebilirim. Bu konuya ilgi duyanların bunu anlayabilecek kadar İngilizce bildiğini düşünüyorum.