Ferramenta Forense para acessar arquivo NTUSER.DAT

Muitos me procuraram para questionar sobre a funcionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no Windows. Para um perito, pode ser uma fonte de informações sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.

Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.

Pra cada usuário criado na maquina,  existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois alguns vírus imitam o nome de arquivos do Windows, mas se o nome for “NTuser.dat” fique tranquilo. O arquivo varia de tamanho dependendo da configuração do perfil do usuário.

Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.

Como perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FDTK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo que contém informações do tipo:

Offline Registry File Parser, by Harlan Carvey
Version 1.1, 20060523
$$$PROTO.HIVSoftwareMicrosoftInternet ExplorerTypedURLs

LastWrite time: Tue Jul 26 15:35:53 2010

–> url1;REG_SZ;http://www.google.com.br/

–> url2;REG_SZ;http://wordpress.com/

–> url3;REG_SZ;http://www.terra.com.br/

–> url4;REG_SZ;http://www.dealextreme.com/

–> url5;REG_SZ;http://www.gmail.com/

Roney Medice

Mais artigos deste autor »

CEO na Cybero Consultoria, Especialista em Segurança da Informação com mais de 26 anos de experiência na área. Consultor de Segurança da Informação. Membro Fundador do CSA - Cloud Security Alliance - Capítulo Brasil, Membro do Comitê ABNT/CB-21 em Segurança da Informação. Graduado em Ciência da Computação, Direito e MBA em Gestão de Segurança da Informação.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!