Identificando o horário de início e fim de utilização do computador

AGRADEÇA AO AUTOR COMPARTILHE!

Em várias perícias judiciais demandadas nas lides do judiciário, uma das informações importantes que podem ser úteis constar no laudo pericial é data e hora em que o computador foi ligado e desligado, para compor as informações que serão parte do laudo pericial.

No registro do windows, executando o comando “regedit” (Iniciar -> Executar -> digite regedit), as duas principais chaves com as informações de quando o computador foi iniciado e quando foi desligado, se encontram no seguinte caminho:

KLM -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Prefetcher

A chave ExitTime , trará a data e horário em que o micro foi desligado

A chave StartTime, trará a data e horário em que o micro foi iniciado.

Nessa pesquisa, o perito forense terá a certeza dos horários de utilização do computador que é alvo de investigação e ajudará na elaboração do seu laudo pericial, aumentando os indícios em torno dos acontecimentos e evitando assim, uma possível contestação da perícia.

Para os menos técnicos e que gostam dessas informações sendo obtidas por software, aqui vai a dica: PcOnOffTime (http://pconofftime.software.informer.com/). A versão gratuita consegue extrair o tempo em que o computador foi ligado e desligado até uma semana atrás da execução do software. Essa ferramenta, quando paga, informar todos os horários de utilização do computador, desde o momento que foi ligado até o seu desligamento.

Muitas pessoas acham que tem o total controle das informações ou que dificilmente será comprovado que o computador foi utilizado para cometer crimes digitais. O que esses “leigos” não sabem é que a área de TI não é somente computador e programas, é muito mais que isso: é conhecimento.

AGRADEÇA AO AUTOR COMPARTILHE!

Roney Medice

Mais artigos deste autor »

Coordenador de Segurança da Informação do Terminal Retroportuário, no Porto de Vitória, com mais de 22 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


4 Comentários

José Garcia
2

Excelente dica!

Porém, esta chave do registro mostra apenas a data de início e fim da sessão atual, e não o histórico de utilização do computador em um determinado período. Para este objetivo, com certeza a dica do colega Romeu M Avancini é mais oportuna.

Carlos
3

Pelo que estudei há uma falha em se analizar este tipo de registro já que ele apenas registra a hora e data correta se o computador é desligado de forma passiva (iniciar->deligar…) quando ocorre um desligamento brusco como corte de energia ou desligamento por time (pressionando o botão power por determinado tempo) ele não faz o registro.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">