Identificando o horário de início e fim de utilização do computador

AGRADEÇA AO AUTOR COMPARTILHE!

Em várias perícias judiciais demandadas nas lides do judiciário, uma das informações importantes que podem ser úteis constar no laudo pericial é data e hora em que o computador foi ligado e desligado, para compor as informações que serão parte do laudo pericial.

No registro do windows, executando o comando “regedit” (Iniciar -> Executar -> digite regedit), as duas principais chaves com as informações de quando o computador foi iniciado e quando foi desligado, se encontram no seguinte caminho:

KLM -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Prefetcher

A chave ExitTime , trará a data e horário em que o micro foi desligado

A chave StartTime, trará a data e horário em que o micro foi iniciado.

Nessa pesquisa, o perito forense terá a certeza dos horários de utilização do computador que é alvo de investigação e ajudará na elaboração do seu laudo pericial, aumentando os indícios em torno dos acontecimentos e evitando assim, uma possível contestação da perícia.

Para os menos técnicos e que gostam dessas informações sendo obtidas por software, aqui vai a dica: PcOnOffTime (http://pconofftime.software.informer.com/). A versão gratuita consegue extrair o tempo em que o computador foi ligado e desligado até uma semana atrás da execução do software. Essa ferramenta, quando paga, informar todos os horários de utilização do computador, desde o momento que foi ligado até o seu desligamento.

Muitas pessoas acham que tem o total controle das informações ou que dificilmente será comprovado que o computador foi utilizado para cometer crimes digitais. O que esses “leigos” não sabem é que a área de TI não é somente computador e programas, é muito mais que isso: é conhecimento.

AGRADEÇA AO AUTOR COMPARTILHE!

Roney Medice

Mais artigos deste autor »

Coordenador de Segurança da Informação do Terminal Retroportuário, no Porto de Vitória-ES, com mais de 23 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


4 Comentários

AvatarJosé Garcia
2

Excelente dica!

Porém, esta chave do registro mostra apenas a data de início e fim da sessão atual, e não o histórico de utilização do computador em um determinado período. Para este objetivo, com certeza a dica do colega Romeu M Avancini é mais oportuna.

AvatarCarlos
3

Pelo que estudei há uma falha em se analizar este tipo de registro já que ele apenas registra a hora e data correta se o computador é desligado de forma passiva (iniciar->deligar…) quando ocorre um desligamento brusco como corte de energia ou desligamento por time (pressionando o botão power por determinado tempo) ele não faz o registro.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">