Ferramenta Forense para acessar arquivo NTUSER.DAT

AGRADEÇA AO AUTOR COMPARTILHE!

Muitos me procuraram para questionar sobre a funcionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no Windows. Para um perito, pode ser uma fonte de informações sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.

Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.

Pra cada usuário criado na maquina,  existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois alguns vírus imitam o nome de arquivos do Windows, mas se o nome for “NTuser.dat” fique tranquilo. O arquivo varia de tamanho dependendo da configuração do perfil do usuário.

Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.

Como perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FDTK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo que contém informações do tipo:

Offline Registry File Parser, by Harlan Carvey
Version 1.1, 20060523
$$$PROTO.HIVSoftwareMicrosoftInternet ExplorerTypedURLs

LastWrite time: Tue Jul 26 15:35:53 2010

–> url1;REG_SZ;http://www.google.com.br/

–> url2;REG_SZ;http://wordpress.com/

–> url3;REG_SZ;http://www.terra.com.br/

–> url4;REG_SZ;http://www.dealextreme.com/

–> url5;REG_SZ;http://www.gmail.com/

AGRADEÇA AO AUTOR COMPARTILHE!

Roney Medice

Mais artigos deste autor »

Coordenador de Segurança da Informação do Terminal Retroportuário, no Porto de Vitória, com mais de 22 anos de experiência na área. Consultor de Segurança da Informação do Grupo Otto Andrade. Membro Fundador do CSA - Cloud Security Alliance, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">