Usrclass Dat
UsrClass.dat adalah registry hive tambahan milik pengguna yang diperkenalkan sejak Windows Vista. Hive ini menyimpan konfigurasi shell yang spesifik untuk pengguna, pemetaan asosiasi file, dan yang paling penting, data ShellBags untuk folder lokal serta rekaman MUICache.
Tip
Tips Akses: Sama seperti NTUSER.DAT, file ini terkunci saat user aktif. Lokasinya berada di folder tersembunyi AppData. Gunakan tool ekstraksi seperti KAPE atau FTK Imager untuk mengambil file ini dari jalur: C:\Users\<username>\AppData\Local\Microsoft\Windows\UsrClass.dat.
| Field | Value |
|---|---|
| Location / Path | |
| Loaded under | HKEY_CURRENT_USER\Software\Classes atau HKEY_USERS\<SID>_Classes |
| Purpose | Menyimpan asosiasi file (COM mapping) dan pengaturan UI spesifik pengguna. |
| Key Data |
|
| Forensic Value | Sangat Tinggi; menyediakan bukti navigasi folder lokal yang seringkali tidak tercatat di NTUSER.DAT. |
| Example |  |
Artefak dalam UsrClass.dat
ShellBags
Berbeda dengan NTUSER.DAT yang lebih banyak mencatat folder jaringan (UNC), UsrClass.dat adalah komponen utama untuk melacak navigasi folder di drive lokal (C:, D:, dsb) dan file di dalam archive (.zip).
Note
Nilai Forensik Utama: ShellBags tetap menyimpan rekaman folder meskipun folder tersebut sudah dihapus dari sistem atau berasal dari USB Drive yang sudah dicabut. Ini membuktikan bahwa pengguna pernah mengetahui dan mengakses folder tersebut.
Tip
Data Persistence: Perlu diingat bahwa UsrClass.dat lebih dominan mencatat akses folder pada drive lokal dan file .zip, sedangkan NTUSER.DAT lebih dominan pada Network Shares (UNC Path). Selalu analisis keduanya secara bersamaan.
| Field | Value |
|---|---|
| Location / Path | |
| Purpose | Merekam preferensi tampilan folder dan riwayat akses folder oleh pengguna. |
| Key Data | Path folder, MAC timestamps folder, dan waktu terakhir folder tersebut dibuka/dilihat. |
| Forensic Value | Membuktikan keberadaan folder (bahkan jika sudah dihapus) dan interaksi pengguna terhadap struktur direktori lokal. |
| Notes |
|
| Example |  |
MUICache (Multilingual User Interface)
Mencatat nama aplikasi dan deskripsinya saat pertama kali dijalankan untuk mengisi cache antarmuka pengguna.
Caution
Eksekusi Portable: MUICache adalah tempat terbaik untuk mencari jejak aplikasi yang tidak “diinstal” secara resmi (seperti tool hacking portable atau aplikasi dari folder Downloads), karena Registry ini mencatat path lengkap saat aplikasi pertama kali memanggil dialog GUI.
| Field | Value |
|---|---|
| Location / Path | |
| Purpose | Menyimpan nama tampilan aplikasi yang pernah dieksekusi. |
| Key Data | Full path ke file executable (.exe) dan nama aplikasi terkait. |
| Forensic Value | Sangat berguna untuk melacak penggunaan Aplikasi Portable atau malware yang dijalankan dari folder sementara. |
| Notes | Meskipun aplikasi sudah dihapus, entri di MUICache seringkali tetap tersimpan sebagai jejak eksekusi historis. |
| Example |  |
Tools yang Direkomendasikan untuk UsrClass.dat / ShellBags
Warning
“Gunakan lebih dari satu tool dan pahami keterbatasannya untuk validasi.”
| Tool | Deskripsi |
|---|---|
| Registry Explorer | Tool GUI terbaik untuk eksplorasi manual; mendukung pemuatan hive secara otomatis dan memiliki plugin internal untuk mem-parsing data biner menjadi format yang mudah dibaca. |
| SBECmd | Alat berbasis CLI dari Eric Zimmerman yang berfungsi untuk mengekstrak dan mem-parsing data ShellBags secara massal ke dalam format CSV, JSON, atau XML. |
| Shellbags Explorer | Tool GUI khusus untuk menganalisis data ShellBags; mampu merekonstruksi hirarki folder yang pernah diakses pengguna secara visual, termasuk folder yang sudah dihapus. |
Ringkasan Visual (Mindmap)
