Como vimos no segundo post sobre procedimentos, uma das recomendações básicas para o manuseio de computadores, se o equipamento estiver desligado, é não ligar em hipótese nenhuma. Porque este rigor em manter o equipamento desligado?
Primeiro, quando da realização da perícia, o disco rígido deste equipamento estará bloqueado contra a escrita, mantendo o “local de crime” devidamente preservado.
Se o equipamento for ligado sem os devidos cuidados, alguns eventos indesejados acontecerão sem que possam ser controlado. Como a alteração da data e hora do último desligamento do equipamento, que pode ser visto nos metadados do sistema de arquivos, no registro de eventos do sistema, etc.
No Linux, se verificarmos a pasta /var/logs o arquivo kern.log encontraremos indicações do momento em que o sistema foi desligado e quando foi religado.
Jul 6 19:20:04 ubuntu kernel: Kernel logging (proc) stopped. Jul 7 18:38:21 ubuntu kernel: imklog 4.2.0, log source = /var/run/rsyslog/kmsg started
No Windows podemos encontrar informações no log de eventos de sistema situados na pasta C:WindowsSystem32winevtsystem.evtx (Windows Vista/7) para os eventos de ID 12 e 13, e C:WindowsSystem32configsystem.evt (Windows XP/2000/NT) para os eventos de ID 6005, 6006 e 6009. Ainda podemos encontrar no registro do Windows, na chave HKLMSYSTEMCurrentControlSet ControlWindows no valor ShutdownTime, o registro da data e hora em que o computador foi desligado de forma regular pela última vez. Este tempo está registrado no horário UTC, formato Windows 64 bit Hex Value – Little Endian.
Os arquivos abertos terão seus metadados do sistema de arquivos, relacionados à data e hora do último acesso alterados, sem considerar que arquivos temporários serão criados na mídia de prova, podendo sobrescrever conteúdo de interesse para a investigação e perícia.
O descuido com a manipulação do equipamento quebrará a cadeia de custódia, podendo fornecer argumentos a serem utilizados para questionar à preservação da evidência material.