Muitos me procuraram para questionar sobre a fucionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no windows. Para um perito, pode ser uma fonte de informação sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.
Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.
Pra cada usuário criado na maquina existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois como já disseram alguns virus imitam o nome de arquivos do windows, mas se o nome for “NTuser.dat” fique tranquilo, e o arquivo varia mesmo de tamanho dependo da configuração do perfil do usuário.
Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas, devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.
Para um perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FTDK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo, que contem algumas informações do tipo:
LastWrite time: Tue Nov 24 15:35:53 2009
–> url1;REG_SZ;http://www.google.com.br/
–> url2;REG_SZ;http://wordpress.com/
–> url3;REG_SZ;http://www.terra.com.br/
–> url4;REG_SZ;http://www.dealextreme.com/
–> url5;REG_SZ;http://www.gmail.com/
Muito bom !
Parabens Roney pelo Blog !
paulo Roberto Penha
Obrigado por dedicar seu precioso tempo em ler os posts do meu blog. Espero que eu esteja contribuindo para o crescimento do seu conhecimento.
vou escrever na integra, sou novato no pedaço: deletei o NTUSER.DAT (NERO MEDIAPLAYER MEDIA FILES 9.216 KB), estava instalado em C:\documentos and Settings\Edson, pelo UNLOCKER 1.8.8, não sei se fis bem ou mal, só sei que depois disso minha internet não segura mais,(GMAIL, HOTMAIL, YAHOO),será que tem algo a ver?, agora estou tentando fazer download para reentrar e não consigo, estou com vontade de quebrar tudo,….. me ajudem por favor….meu email é:son.alme.bor@gmail.com – não me mandem virus por favor, …..