Ntuser Dat

NTUSER.DAT adalah registry hive per-user pada sistem Windows yang menyimpan konfigurasi lingkungan pengguna serta jejak aktivitas personal. Artefak ini memiliki nilai forensik tinggi karena merepresentasikan tindakan yang benar-benar dilakukan oleh akun pengguna tertentu.

Tip

Tips Akses: File NTUSER.DAT pada sistem yang sedang berjalan (live) akan dikunci oleh Windows. Gunakan tool seperti FTK Imager atau KAPE untuk mengekstraknya dari disk image sebelum melakukan analisis offline.

Field	Value
Location / Path	`C:\Users<username>\NTUSER.DAT`
Loaded under	`HKEY_CURRENT_USER` (saat user login) atau `HKEY_USERS\<SID>`
Purpose	Menyimpan konfigurasi lingkungan pengguna dan riwayat aktivitas personal.
Key Data	UserAssist: Melacak eksekusi program GUI dan file shortcut (.LNK). RunMRU: Daftar perintah yang diketik melalui kotak dialog Windows Run (Win+R). OpenSaveMRU: Melacak file yang dibuka atau disimpan melalui dialog Windows. OfficeMRU: Rekaman file yang terakhir digunakan pada aplikasi MS Office (Word, Excel, dsb). LastVisitedMRU: Mencatat aplikasi yang menggunakan dialog Open/Save beserta lokasi folder terakhirnya. RecentDocs: Melacak file dan folder yang baru-baru ini diakses oleh pengguna. WordWheelQuery: Daftar kata kunci pencarian yang dimasukkan ke Windows Explorer. TypedPaths: Path folder yang diketikkan langsung di bar alamat File Explorer. ShellBags: Melacak folder yang pernah dibuka, termasuk folder di network share atau USB. MountPoints2: Riwayat perangkat USB dan network share yang pernah terpasang. User-specific Apps: Daftar aplikasi yang diinstal khusus untuk user (bukan system-wide). User Autorun: Kunci persistensi seperti Run/RunOnce yang berjalan otomatis saat user login.
Forensic Value	Sangat Tinggi; membuktikan aktivitas spesifik yang dilakukan oleh akun pengguna tertentu.
Example

Artefak dalam NTUSER.DAT

UserAssist

Melacak eksekusi program berbasis GUI atau file shortcut (.LNK) yang diluncurkan melalui antarmuka Windows.

Warning

Dekripsi ROT13: Nama entri di UserAssist disamarkan menggunakan algoritma ROT13. Gunakan Registry Explorer untuk secara otomatis menerjemahkan teks tersebut ke format yang dapat dibaca.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist`
Purpose	Melacak eksekusi program berbasis GUI dan file shortcut (.LNK).
Key Data	Nama file (ROT13), jumlah eksekusi (Run Count), dan timestamp eksekusi terakhir.
Forensic Value	Membuktikan bahwa aplikasi tertentu benar-benar dijalankan oleh pengguna, bukan sekadar ada di disk.
Notes	Berisi sub-key GUID yang masing-masing melacak jenis eksekusi yang berbeda.
Example

RunMRU

Rekaman riwayat perintah atau path yang diketik secara manual oleh pengguna di kotak dialog Windows Run (Win+R).

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU`
Purpose	Menyimpan riwayat perintah yang diketikkan di kotak dialog "Run" (Win+R).
Key Data	Perintah teks (per entri ditandai huruf a, b, c) dan `MRUList` yang menentukan urutan eksekusi.
Forensic Value	Mengidentifikasi perintah manual, pembukaan aplikasi sistem (seperti `cmd`, `regedit`), atau eksekusi malware secara manual.
Notes	Entri pertama dalam `MRUList` adalah perintah yang paling baru dijalankan.
Example

RecentDocs

Melacak file dan folder yang baru saja diakses atau dibuka untuk mengisi berbagai tabel “recent” di Windows.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs`
Purpose	Melacak file dan folder yang terakhir kali dibuka melalui Windows Explorer.
Key Data	Nama file, ekstensi file, dan urutan akses (MRU).
Forensic Value	Membuktikan akses file oleh pengguna. Key ini dipisahkan berdasarkan ekstensi file (misal: .pdf, .docx).
Notes	Berguna untuk menghubungkan aktivitas pengguna dengan dokumen spesifik dalam kasus pencurian data.
Example

TypedPaths

Daftar path folder atau alamat yang diketik langsung oleh pengguna ke dalam bar alamat (address bar) File Explorer.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths`
Purpose	Menyimpan path folder yang diketik langsung di address bar File Explorer.
Key Data	Path lengkap (seperti `C:\Windows\System32` atau alamat network share).
Forensic Value	Menunjukkan niat pengguna untuk mengakses lokasi tertentu secara spesifik, termasuk folder tersembunyi.
Notes	Berbeda dengan navigasi klik, data di sini membuktikan input manual dari pengguna.
Example

WordWheelQuery

Urutan kata kunci pencarian yang dimasukkan pengguna ke dalam kotak pencarian di Windows File Explorer.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery`
Purpose	Menyimpan kata kunci pencarian yang dimasukkan ke kotak pencarian Windows Explorer.
Key Data	String teks pencarian dalam format Unicode.
Forensic Value	Memberikan wawasan tentang apa yang sedang dicari oleh pengguna (misal: mencari file "password.txt" atau "confidential").
Notes	Urutan pencarian disimpan secara kronologis.
Example

OpenSaveMRU

Artefak ini melacak file yang dibuka atau disimpan oleh pengguna melalui kotak dialog standar Windows (Open/Save dialog).

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU`
Purpose	Mencatat riwayat file (berdasarkan ekstensi) yang diakses melalui dialog Open/Save .
Key Data	Path lengkap, urutan MRU, dan waktu akses terakhir untuk setiap ekstensi .
Forensic Value	Membuktikan interaksi spesifik pengguna dengan file tertentu, sangat berguna untuk kasus kebocoran data .
Notes	Merekam hingga 20 entri terakhir per ekstensi file.
Example

LastVisitedMRU

Bekerja berdampingan dengan OpenSaveMRU, artefak ini melacak aplikasi mana yang digunakan untuk membuka file tersebut.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU`
Purpose	Melacak nama aplikasi dan lokasi direktori terakhir yang diakses melalui dialog Windows .
Key Data	Nama file executable aplikasi dan path folder terakhir yang dibuka .
Forensic Value	Menghubungkan aplikasi tertentu dengan lokasi folder yang mencurigakan .
Notes	Data ini tersimpan dalam format biner yang memerlukan tool seperti Registry Explorer untuk interpretasi.
Example

OfficeMRU

Khusus melacak aktivitas pengguna pada produk Microsoft Office (Word, Excel, PowerPoint).

Field	Value
Location / Path	`Software\Microsoft\Office<Version><App>\File MRU` `Software\Microsoft\Office<Version><App>\User MRU` `Software\Microsoft\Office<Version><App>\Place MRU`
Purpose	Memberikan bukti file yang diakses secara spesifik melalui produk Office .
Key Data	Path lengkap file, aplikasi yang digunakan, dan waktu terakhir dibuka .
Forensic Value	Sangat krusial untuk melacak dokumen sensitif yang diakses pengguna .
Notes	File MRU – Mencatat daftar file yang terakhir kali dibuka oleh pengguna melalui aplikasi Microsoft Office. Place MRU – Menyimpan daftar folder atau lokasi (local, network share, atau cloud) yang terakhir digunakan saat membuka atau menyimpan file. User MRU – Berisi entri file dan folder yang diakses ketika pengguna menggunakan akun Microsoft (online), biasanya direpresentasikan dalam bentuk identifier atau hash internal.
Example

ShellBags

Salah satu artefak paling kuat untuk membuktikan navigasi folder oleh pengguna.

Note

Nilai Forensik: ShellBags tetap menyimpan informasi folder meskipun folder tersebut telah dihapus atau berada di drive eksternal yang sudah dicabut.

Field	Value
Location / Path	`Software\Microsoft\Windows\Shell\Bags`
Purpose	Merekam keberadaan folder dan kapan folder tersebut diakses oleh pengguna .
Key Data	Path lengkap, MAC timestamps folder, dan waktu akses pertama/terakhir .
Forensic Value	Membuktikan navigasi pengguna ke dalam struktur folder tertentu, termasuk network shares .
Notes	ShellBags di NTUSER.DAT biasanya mencatat akses folder jaringan (UNC path), sementara akses lokal lebih banyak di UserClass.dat.
Example

MountPoints2

Melacak interaksi pengguna dengan media penyimpanan eksternal dan koneksi jaringan.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2`
Purpose	Mencatat perangkat USB dan network shares yang pernah diakses oleh pengguna .
Key Data	Path network share (UNC) atau Volume GUID perangkat .
Forensic Value	Mengidentifikasi koneksi ke server remote atau penggunaan flash drive ilegal .
Notes	Dapat menunjukkan path UNC lengkap seperti \\Server\Share.
Example

Terminal Server

Melacak riwayat koneksi RDP (Remote Desktop Protocol) keluar yang dilakukan oleh pengguna ke sistem lain.

Field	Value
Location / Path	`Software\Microsoft\Terminal Server Client\Servers`
Purpose	Mencatat koneksi RDP keluar (outbound).
Key Data	Nama host atau alamat IP tujuan koneksi serta petunjuk nama pengguna (username hint).
Forensic Value	Mengidentifikasi upaya pergerakan lateral (lateral movement) oleh aktor ancaman ke mesin lain dalam jaringan.
Notes	Tidak mencatat password atau status keberhasilan koneksi.
Example

Installed Apps (User Specific)

Daftar aplikasi yang diinstal khusus untuk pengguna tertentu, bukan untuk seluruh sistem.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Uninstall`
Purpose	Memahami aplikasi apa saja yang diinstal oleh pengguna secara personal.
Key Data	Nama aplikasi, versi, tanggal instalasi, dan direktori instalasi.
Forensic Value	Mengungkap penggunaan alat akses jarak jauh (RMM) atau alat eksfiltrasi data yang diinstal tanpa hak admin.
Notes	Direktori instalasi aplikasi ini biasanya berada di dalam folder `AppData\Local` milik pengguna.
Example

Run and RunOnce Keys

Mekanisme persistensi yang memungkinkan program berjalan secara otomatis setiap kali pengguna melakukan login.

Caution

Kunci ini sering disalahgunakan oleh malware untuk mempertahankan persistensi.

Field	Value
Location / Path	`Software\Microsoft\Windows\CurrentVersion\Run` `Software\Microsoft\Windows\CurrentVersion\RunOnce`
Purpose	Mencatat daftar program yang diatur untuk berjalan otomatis saat user logon.
Key Data	Perintah (command) dan argumen yang dieksekusi saat login.
Forensic Value	Titik utama untuk menemukan malware yang mencoba mempertahankan keberadaannya (persistence) di bawah konteks pengguna.
Notes	`Run` → dijalankan setiap login `RunOnce` → dijalankan sekali lalu dihapus
Example

Tools yang Direkomendasikan untuk NTUSER.DAT

Warning

“Gunakan lebih dari satu tool dan pahami keterbatasannya untuk validasi.”

Tool	Deskripsi
Registry Explorer	Tool GUI terbaik untuk eksplorasi manual dengan plugin otomatis untuk parsing UserAssist, dll.
RECmd	Alat baris perintah (CLI) untuk mengekstrak data registry secara massal ke CSV/JSON.
RegRipper	Tool klasik untuk ekstraksi cepat data spesifik menggunakan plugin (rip).
Cyber Triage	Mengotomatiskan identifikasi anomali dan aktivitas mencurigakan di dalam NTUSER.DAT.
Autopsy	Suite forensik lengkap dengan dukungan penguraian Registri.

Ringkasan Visual (Mindmap)

Last updated on April 11, 2026

Usrclass Dat