Muitos me procuraram para questionar sobre a fucionalidade do arquivo NTUSER.DAT existente dentro de cada perfil de usuário criado no windows. Para um perito, pode ser uma fonte de informação sobre as preferências do usuário, o que ele tem instalado ultimamente no computador e outros dados importantes.

Nesse caso, resumidamente, o arquivo NTuser.dat é a parte do Registro do perfil de usuário. Quando um usuário faz logoff do computador, o sistema descarrega a seção específica do usuário do Registro (ou seja, HKEY_CURRENT_USER) no arquivo NTuser.dat e o atualiza. Para obter mais informações sobre o Registro, consulte estrutura do Registro.

Pra cada usuário criado na maquina existe um arquivo “NTuser.dat”. Só confira o nome do arquivo, pois como já disseram alguns virus imitam o nome de arquivos do windows, mas se o nome for “NTuser.dat” fique tranquilo, e o arquivo varia mesmo de tamanho dependo da configuração do perfil do usuário.

Para ter acesso aos dados desse arquivo, não basta abrir com o bloco de notas ou wordpad, pois as informações estão criptografadas, devido a segurança que o sistema operacional utiliza para evitar problemas de confidencialidade.

Para um perito, particularmente, eu utilizo o Live CD Ubuntu Forensics – FTDK, no qual através da ferramenta regp, você pode observar o conteúdo do arquivo, que contem algumas informações do tipo:

LastWrite time: Tue Nov 24 15:35:53 2009

–> url1;REG_SZ;http://www.google.com.br/

–> url2;REG_SZ;http://wordpress.com/

–> url3;REG_SZ;http://www.terra.com.br/

–> url4;REG_SZ;http://www.dealextreme.com/

–> url5;REG_SZ;http://www.gmail.com/