Fechar

Identificando o horário de início e fim de utilização do computador

Por Roney Médice | 13 de julho de 2010 | Gestão do Conhecimento, Infra-estrutura 2 comentários


RSSPrêmio TopBlog - Vote no PTI

Em várias perícias judiciais demandadas nas lides do judiciário, uma das informações importantes que podem ser úteis constar no laudo pericial é data e hora em que o computador foi ligado e desligado, para compor as informações que serão parte do laudo pericial.

No registro do windows, executando o comando “regedit” (Iniciar -> Executar -> digite regedit), as duas principais chaves com as informações de quando o computador foi iniciado e quando foi desligado, se encontram no seguinte caminho:

KLM -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Prefetcher

A chave ExitTime , trará a data e horário em que o micro foi desligado

A chave StartTime, trará a data e horário em que o micro foi iniciado.

Nessa pesquisa, o perito forense terá a certeza dos horários de utilização do computador que é alvo de investigação e ajudará na elaboração do seu laudo pericial, aumentando os indícios em torno dos acontecimentos e evitando assim, uma possível contestação da perícia.

Para os menos técnicos e que gostam dessas informações sendo obtidas por software, aqui vai a dica: PcOnOffTime (http://pconofftime.software.informer.com/). A versão gratuita consegue extrair o tempo em que o computador foi ligado e desligado até uma semana atrás da execução do software. Essa ferramenta, quando paga, informar todos os horários de utilização do computador, desde o momento que foi ligado até o seu desligamento.

Muitas pessoas acham que tem o total controle das informações ou que dificilmente será comprovado que o computador foi utilizado para cometer crimes digitais. O que esses “leigos” não sabem é que a área de TI não é somente computador e programas, é muito mais que isso: é conhecimento.

Marcadores: , ,

Roney Médice

Coordenador de Segurança da Informação do Terminal Retroportuário Hiper Export S/A, no Porto de Vitória, com mais de 10 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Perito em Computação Forense. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação, Presidente da APECOMFES - Associação de Peritos em Computação Forense do Espírito Santo. Presidente da Comissão de Desenvolvimento do ISSA Brasil nas regiões Sudeste/Centro-Oeste. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.

Aproveite e leia outros 17 posts deste autor.

Outros conteúdos interessantes

RSSPrêmio TopBlog - Vote no PTI

Confira os 2 comentários deixados

Participe você também
  1. Romeu M Avancini
    14:47 em 13 de julho de 2010
    1

    Boa tarde!
    Gostei da dica Roney!
    Eu costumo implementar um script para monitorar esse tipo de coisa.

    http://dicastisup.wordpress.com/2010/07/13/monitorando-logon-com-vbs/

    Ele salva um log com um arquivo para cada IP, mas da para alterar e colocar o nome da maquina.

  2. José Garcia
    9:10 em 14 de julho de 2010
    2

    Excelente dica!

    Porém, esta chave do registro mostra apenas a data de início e fim da sessão atual, e não o histórico de utilização do computador em um determinado período. Para este objetivo, com certeza a dica do colega Romeu M Avancini é mais oportuna.

Deixe seu comentário, participe!