Queira o Sr. Perito explicar quais os principais rastros guardados pelo sistema Windows – Parte 2

Na primeira parte da série sobre rastros gravados pelo Windows nós tratamos sobre System Restore, User Assist e Registros sobre Pendrives conectados ao computador. Hoje trataremos sobre outros três recursos que também são bastante úteis para a criação de linhas de tempo e para análise do comportamento de um usuário de computador, são eles:

  1. Atalhos de documentos e aplicativos
  2. Listas de opções e de ações recentes
  3. Cachê de pré-carregamento de aplicativos

A ideia desse post é apenas introduzir esses recursos e demonstrar seu potencial para o esclarecimento de fatos ou para a reconstituição de incidentes digitais. Detalhamento sobre cada um deles e como eles podem ser analisados serão apresentados em outras postagens técnicas e/ou tutoriais específicos.

1) Atalhos de documentos e aplicativos ou Link Files, como são denominados, são arquivos criados automaticamente pelo sistema operacional quando um documento é aberto ou quando um aplicativo é executado.

Esses arquivos possuem extensão “LNK” e são armazenados sob o diretório C: \Users \USERNAME \AppData \Roaming \Microsoft \Windows \Recent. Em síntese, os Link Files são utilizados para ajudar o sistema operacional na localização dos documentos e aplicativos acessados recentemente. São de fato atalho, como o seu nome sugere.

Se você quiser verificar o potencial desse recurso, baixe o programa Windows File Analyzer. Esse programa analisa os Link Files de seu computador ou de qualquer local que você indicar, que pode ser uma imagem forense montada com FTK Imager, por exemplo, e apresenta o seguinte relatório:

No contexto da computação forense, podemos utilizar os Link Files para saber se um documento foi acessado, quando e onde ele estava armazenado. Isso costuma ser relevante, por exemplo, em investigações sobre desvios de informação. Também é possível utilizar os Link Files para criação de linhas de tempo de execução de programas. Isso permite descobrir, por exemplo, a utilização de programas anti-forense.

2) Listas de opções e de ações recentes ou Jump List, como são denominadas, tratam-se de um recurso incorporado ao Windows a partir da versão Seven.

Uma Jump List é uma lista suspensa exibida quando o usuário posiciona o cursor do mouse sobre um botão de programa no Menu Iniciar ou na Barra de Tarefas. Ela é personalizada por programa, o que significa que a Jump List associada ao Internet Explorer, por exemplo, mostrará para o usuário apenas a lista de opções referentes a este programa e os sites  ou documentos acessados através desse programa.

As informações exibidas nas Jump List são armazenadas em bancos de dados criados pelo sistema operacional. Esses bancos de dados são ocultados do usuário. Para analisar esses arquivos e visualizar as suas informações é necessário um procedimento um pouco complexo, pois ainda não existe muitos programas voltados para essa finalidade. Se você quiser aprender mais sobre esse recurso acesso o nosso post sobre Jump List.

Por tratar-se de um recursos vinculado a cada programa utilizado pelo usuário no sistema operacional Windows (a partir da versão Seven) a Jump List tornou-se fundamental em uma análise forense computacional complexa. Por meio dela é possível extrair as mais diversas informações sobre como um usuário utiliza um computador. Essas informações podem ser endereços de IP acessados via terminal remoto, últimos documentos abertos, locais de rede recentemente acessados e outros.

3) Cachê de pré-carregamento de aplicativos ou Prefetch, como são denominados, são arquivos criados e gerenciados pelo sistema operacional que têm como finalidade tornar o sistema mais performático. O recurso consiste em pré-carregar os principais programas utilizados pelo sistema e pelo usuário de forma que sua abertura seja mais rápida.

Se você quiser verificar o potencial desse recurso, baixe o programa Windows File Analyzer. Esse programa é capaz de decodificar os Prefetch de seu computador ou de qualquer local que você indicar, que pode ser uma imagem forense montada com FTK Imager, por exemplo, e apresenta o seguinte relatório:

São diversas as formas de uso desse recurso em exames forenses. Ele pode ser útil para construção de uma linha de tempo ou para verificar quais programas foram mais ou menos acessados por um usuário, permitindo identificar, por exemplo, tendências ou mudanças de comportamento.

Esses são mais três recursos utilizados por examinadores e peritos de computação para resolução de crimes de informática ou esclarecimento de fatos. Para ver sobre os três recursos tratados no primeiro post dessa série clique aqui. Em breve, traremos mais detalhes sobre esses e outros recursos. Até lá!

Um comentário sobre “Queira o Sr. Perito explicar quais os principais rastros guardados pelo sistema Windows – Parte 2

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s