Quando ligamos o computador, diversas instruções são executadas (boot da máquina, instrução INT 19, leitura da trilha zero do HD, etc) na máquina até que possamos propriamente ter acesso ao sistema operacional e conseguir usar o computador.
Nesse momento, vamos analisar quais aplicações ou possíveis scripts poderiam estar sendo executados durante o boot do windows, no qual poderemos ter uma noção se algo diferente, como apagar determinados arquivos, estariam sendo realizados antes mesmos do equipamento ser liberado ao usuário / perito.
Uma rápida consulta no registro do windows, poderemos ter a informação desejada. Basta seguir os seguintes passos:
1 – Executar o regedit.exe em Iniciar -> Executar, e entre no registro do windows;
2 – Localize a chave “Session Manager” que pode ser encontrada no seguinte caminho:
HKEY_LOCAL_MACHINE -> System -> ControlSet001 -> Control -> Session Manager
Dentro dessa chave, no lado direito, procure a chave “BootExecute” e visualize o que está sendo executado durante o boot do windows.
Por exemplo, pode aparecer a seguinte informação:
BootExecute
autocheck xmnt2002 /bat=”C:WINDOWSTEMPPQ_BATCH.PQB”
/win=”C:WINDOWS” /dbg=”C:WINDOWSTEMPPQ_DEBUG.TXT”
/ver=262144 /prd=”PartitionMagic”
autocheck autochk *
Simples assim 🙂
