Voltando ao último post sobre o Registro do Windows, a figura utilizada para ilustrar mostrava o seguinte:
A chave exibida na ilustração, HKLM\SYSTEM\CurrentControlSet\Control\Windows possuía o valor ShutdownTime, com dados do tipo REG_BYNARY, ou seja, dados binários, gravados em formato hexadecimal, cujo conteúdo era “9f e8 88 c4 b7 b7 ce 01”, que convertido para o formato 64 bit Hex Value: Little Endian teremos a data de 22/09/2013 17:18:34 UTC. Quando extraímos as hives do registro do Windows para análise externa com o Mitec Registry Recovery, por exemplo, iremos nos deparar com uma configuração um pouco diferente das chaves.
Como podemos ver não há mais a chave CurrentControlSet e sim as chaves ControlSet001, ControlSet002 e ControlSet003. Todas possuem a chave Control\Windows e o valor ShutdownTime. Então qual destas chaves vale? O que são estas chaves e o que guarda cada uma delas?
A chave HKLM\SYSTEM\CurrentControlSet\Control\Windows aponta para uma das três e indica a última configuração válida do sistema (HKLM\SYSTEM\CurrentControlSet) enquanto as demais (HKLM\SYSTEM\ControlSet001 e HKLM\SYSTEM\ControlSet 002) são cópias de backup mantidas pelo sistema.
Para saber a chave que armazenava a última configuração válida, examine a chave HKLM\SYSTEM\Select, que possui quatro valores cujos dados REG_DWORD indicam a chave configurada. O valor da última carga do sistema é o Current, o valor da última configuração que falhou na inicialização é a Failed, a última configuração válida conhecida é a LastKnowGood, e o valor Default normalmente aponta para o mesmo dado do Current, como vemos abaixo.
No caso específico do último post vemos que o valor Current, indica o dado 0x2, ou seja a última vez que o sistema foi utilizado foi a ControlSet002.
Confuso? Lembre-se que quando visualizamos o registro do Windows de um equipamento ligado, veremos sempre a chave CurrentControlSet, enquanto se examinamos a hive de um registro extraída de um dispositvo de armazenamento de dados de um equipamento suspeito, teremos que consultar a chave HKLM\SYSTEM\Select para difinir as chaves utilizadas na última vez que esteve ligado. Para saber mais clique aqui.
Até a próxima.