Muitos me procuraram para questionar sobre a funcionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no Windows. Para um perito, pode ser uma fonte de informações sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.
Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.
Pra cada usuário criado na maquina, existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois alguns vírus imitam o nome de arquivos do Windows, mas se o nome for “NTuser.dat” fique tranquilo. O arquivo varia de tamanho dependendo da configuração do perfil do usuário.
Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.
Como perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FDTK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo que contém informações do tipo:
Offline Registry File Parser, by Harlan Carvey
Version 1.1, 20060523
$$$PROTO.HIVSoftwareMicrosoftInternet ExplorerTypedURLs
LastWrite time: Tue Jul 26 15:35:53 2010
–> url1;REG_SZ;http://www.google.com.br/
–> url2;REG_SZ;http://wordpress.com/
–> url3;REG_SZ;http://www.terra.com.br/
–> url4;REG_SZ;http://www.dealextreme.com/
–> url5;REG_SZ;http://www.gmail.com/