Continuando os posts sobre o registro do Windows, falaremos sobre a caracterização da evidência de acordo com o conteúdo de algumas chaves do registro. Esta caracterização consiste em identificar e documentar as informações relativas à identidade do computador que está sendo examinando.

Primeiramente as informações relativas ao sistema operacional, que pessoalmente considero o mínimo obrigatório a constar em um relatório pericial, entretanto são seus procedimentos que determinarão o que será utilizado na caracterização da evidência. As informações a que me refiro podem ser encontradas na chave HKLM\Software\Microsoft\WindowsNT\CurrentVersion nos seguintes valores:

• ProductName – Nome do produto instalado
• CurrentVersion – Versão instalada
• EditionID – Versão nominal instalada
• ProductId – Identificação do Produto
• RegisteredOwner – Nome do usuário registrado
• RegisteredOrganization – Nome da organização registrada
• InstallDate – Data da instalação do sistema no formato Unix 32 bits Hex Value – Big Endian ou Unix Numeric Value, ambos (UTC)
• CSDVersion – Service Pack instalado

Para identificar o nome de um computador busque no valor ComputerName situado na chave HKLM\CurrentControlSet\Control\ComputerName\ComputerName ou ActiveComputerName. Caso o computador faça parte de uma rede com domínio, consulte os valores Domain e Hostname, localizados na chave HKLM\CurrentControlSet\Services\Tcpip\Parameters.

Mas como fazer para acessar estas chaves, se estou examinando o conteúdo de outro computador e não o meu? Primeiro identificamos as hives que contém as informações requeridas. As hives são arquivos binários estáticos ou dinâmicos onde o sistema operacional Microsoft Windows armazena as chaves e valores do registro. A hive HKLM ou HKEY_LOCAL_MACHINE corresponde a um conjunto de arquivos situados na pasta C:\Windows\System32\Config, dentre eles dois de nomes SYSTEM e SOFTWARE. Para examinar tais arquivos utilizo o software Windows Registry Recovery da Mitec que nos oferece uma série de opções úteis. Dos exemplos citados neste post, o arquivo SOFTWARE armazena as informações acerca do sistema operacional e o arquivo SYSTEM armazena a informação relativa ao nome do computador. Tais arquivos não armazenam somente estas informações, mas um grande número de outras, as quais abordaremos as mais úteis em posts futuros.

O SWGDE recomenda que os equipamentos utilizados devem ser monitorados e documentados para garantir que o desempenho seja assegurado e que a documentação técnica deverá estar sempre disponível e acessível ao perito. Estamos nos referindo aos equipamentos e os softwares para realização das imagens e análises forenses. Também recomenda que os softwares de imagem e análise sejam validados/homologados de acordo com Recommended Guideline for Validation Testing. Na prática o que se deseja é que os softwares sejam reconhecidamente adequados para o uso e que o equipamento não ofereça possibilidades de incompatibilidade de com os seus componentes.

Seguindo estas recomendações, a estabilidade do ambiente operacional será alcançada com a manutenção dos softwares instalados na estação pericial, evitando aplicativos e utilitários que possam provocar conflitos. Devo lembrar que a estabilidade e performance do equipamento são melhores e maiores, quando temos o mínimo necessário para o seu funcionamento.