Queira o Sr. Perito explicar quais os principais rastros guardados pelo sistema Windows – Parte 01

Computação forenseQuando um usuário de computador realiza uma tarefa qualquer, dezenas de informações sobre essa tarefa são registradas pelo sistema operacional. Essas informações em sua maioria têm como finalidade melhorar a experiência do usuário, facilitando, por exemplo, o acesso aos últimos arquivos acessados. Contudo, mesmo o tempo normal de retenção dessas informações sendo pequeno, elas são extremamente úteis em investigações digitais ou para a recriação de eventos passados.

Certamente você já ouviu falar de histórico de navegação WEB, certo? Trata-se de um recurso informático que armazena informações sobre as últimas páginas acessadas pelo usuário. Dentre as informações coletadas e guardadas pelos navegadores de internet, encontram-se as URL’s acessadas, cookies[1], cachês[2] etc. Com base nessas informações podemos conhecer os principais sites acessados por um usuário de computador, em quais serviços de e-mail ou redes sociais o usuário possui conta, quais termos foram utilizados para pesquisa em buscadores de internet, entre diversas outras coisas.

Porém, existem outros recursos do sistema operacional Windows (frequentemente utilizado por usuários domésticos e empresas) que mantêm diversas informações a respeito do usuário do computador. Inicialmente, vamos apresentar 3 recursos importantes utilizados em computação forense, a saber:

  1. Ponto de restauração do sistema
  2. Registros de execução de programas
  3. Registros de utilização de dispositivos externos de armazenamento

A ideia desse post é apenas introduzir esses recursos e demonstrar seu potencial para o esclarecimento de fatos ou para a reconstituição de incidentes digitais. Detalhamento sobre cada um deles e como eles podem ser analisados serão apresentados em postagens técnicas futuras e/ou em tutoriais. (Veja também a segunda parte desse post clicando aqui).

1) O Ponto de restauração do sistema ou “System Restore” é um recurso do Windows presente nas versões XP e superiores. Ele permite que o usuário altere (restaure) as configurações do computador para Pontos de Restaurações específicos.

Um Ponto de Restauração é um contêiner criado pelo sistema operacional com cópia dos arquivos de registro, documentos recentes, e-mails, listas de favoritos e históricos de navegação. Ele pode ser criado automaticamente pelo sistema operacional quando o usuário instalar algum tipo de aplicativo, ou pode ser criado pelo usuário. A imagem a seguir mostra o programa Shadow Explorer, por meio do qual é possível navegar pelo computador visualizando o estado de seus arquivos em datas passadas, como em uma máquina do tempo:

Shadow Explorer

Com as informações armazenadas neste recurso, não só é possível saber informações passadas que foram apagadas naturalmente pelo sistema, tais como os últimos arquivos manipulados (informações estas que costumam ser substituídas por novas muito rapidamente), como também é possível recuperar informações apagadas propositalmente pelos usuários, tais como registros sobre os drives externos conectados ao computador (se você quiser ver um exemplo de como o System Restore pode ser utilizado em exames forense, veja nosso tutorial Aqui!).

2) Registros de execução de programas ou “User Assist” é um recurso do Windows que armazena informações sobre os programas executados. Ao contrário da notória lista de recentes (MRU List), o “User Assist” pode armazenar centenas de registros sobre os programas utilizados pelo usuário do computador.

Através desse recurso é possível determinar, por exemplo, se um usuário utiliza programas de armazenamento de arquivos em nuvem com os quais poderia estar desviando arquivos da empresa. É possível saber, também, se foram executados programas de limpeza de registro ou programas de exclusão definitiva de arquivos (WIPE). A imagem a seguir mostra a visualização desses registros por meio do software User Assist View:

User Assist View

Sabendo do potencial desse recurso, podemos considerá-lo, portanto, um grande aliado do examinador forense, pois dele pode-se extrair uma infinidade de informações sobre como um usuário utiliza o  computador.

3) Registros de utilização de dispositivos externos de armazenamento referem-se a informações gravadas automaticamente pelo sistema operacional sempre que um pendrive ou HD externo é conectado ao computador. Dentre as informações gravadas encontram-se o ID do dispositivo (número único de identificação), nome do dispositivo (nome atribuído pelo usuário no momento da sua formatação), letra com a qual foi mapeado no sistema (por exemplo, “D:\”, “E:\” etc.), data da primeira e da última vez em que foi utilizado no computador. A imagem a seguir mostra algumas dessas informações guardadas pelo sistema:

USB Deview

Esses registros, por si só, não comprovam ações irregulares,  a não ser que haja uma política na empresa que proíba o uso de dispositivos externos. Ainda assim, além do descumprimento de normas internas, não é possível determinar mais nada apenas com as informações guardadas por esses recursos.

Entretanto, quando combinadas com outras informações, tais como logs de aplicações, atalhos de sistema (link files), logs de varredura por vírus, metadados de arquivos e outros recursos que veremos mais detalhadamente em postagens futuras, os registros sobre dispositivos externos podem depor sobre cópia indevida de arquivos ou informações confidenciais da empresa.

Esses são apenas alguns recursos utilizados por examinadores e peritos de computação para resolução de crimes de informática ou esclarecimento de fatos. Em breve, traremos mais detalhes sobre esses e outros recursos. Até lá!


[1] Cookies são pequenos arquivos criados pelo navegador de internet para armazenamento de informações sobre o usuário ou sobre suas ações em um site, tais como consultas ou compras em um carrinho. Visam melhor a navegação, personalizando o conteúdo apresentado para o usuário e mantendo esse conteúdo atualizado.

[2] Cachês são páginas ou conteúdo de internet que são copiados para o computador para acelerar o tempo de carregamento de sites.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s