Em várias perícias judiciais demandadas nas lides do judiciário, uma das informações importantes que podem ser úteis constar no laudo pericial é data e hora em que o computador foi ligado e desligado, para compor as informações que serão parte do laudo pericial.
No registro do windows, executando o comando “regedit” (Iniciar -> Executar -> digite regedit), as duas principais chaves com as informações de quando o computador foi iniciado e quando foi desligado, se encontram no seguinte caminho:
KLM -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Prefetcher
A chave ExitTime , trará a data e horário em que o micro foi desligado
A chave StartTime, trará a data e horário em que o micro foi iniciado.
Nessa pesquisa, o perito forense terá a certeza dos horários de utilização do computador que é alvo de investigação e ajudará na elaboração do seu laudo pericial, aumentando os indícios em torno dos acontecimentos e evitando assim, uma possível contestação da perícia.
Para os menos técnicos e que gostam dessas informações sendo obtidas por software, aqui vai a dica: PcOnOffTime (http://pconofftime.software.informer.com/). A versão gratuita consegue extrair o tempo em que o computador foi ligado e desligado até uma semana atrás da execução do software. Essa ferramenta, quando paga, informar todos os horários de utilização do computador, desde o momento que foi ligado até o seu desligamento.
Muitas pessoas acham que tem o total controle das informações ou que dificilmente será comprovado que o computador foi utilizado para cometer crimes digitais. O que esses “leigos” não sabem é que a área de TI não é somente computador e programas, é muito mais que isso: é conhecimento.
4 Comentários
Boa tarde!
Gostei da dica Roney!
Eu costumo implementar um script para monitorar esse tipo de coisa.
http://dicastisup.wordpress.com/2010/07/13/monitorando-logon-com-vbs/
Ele salva um log com um arquivo para cada IP, mas da para alterar e colocar o nome da maquina.
Excelente dica!
Porém, esta chave do registro mostra apenas a data de início e fim da sessão atual, e não o histórico de utilização do computador em um determinado período. Para este objetivo, com certeza a dica do colega Romeu M Avancini é mais oportuna.
Pelo que estudei há uma falha em se analizar este tipo de registro já que ele apenas registra a hora e data correta se o computador é desligado de forma passiva (iniciar->deligar…) quando ocorre um desligamento brusco como corte de energia ou desligamento por time (pressionando o botão power por determinado tempo) ele não faz o registro.
Isto é válido para o Windows 7? Rs