Registro Windows e NTUSER.DAT
Categoria: Windows, Registro, navegadores e artefatos de uso
Objetivo do tema
Consolidar orientações, limitações e achados recorrentes sobre registro Windows e NTUSER.DAT no contexto de exames de computação forense.
Contexto técnico consolidado
As conversas reunidas mencionam ferramentas/tecnologias como Physical Analyzer, IPED, IEF, Autopsy, BitLocker, WhatsApp. Os termos mais recorrentes neste tema incluem: the, registro, registros, mas, windows, foi, heap, esse, desktop, sao. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.
Pontos consolidados
- Analisar hives de usuário e sistema conforme hipótese investigativa.
- Registrar caminho do hive e ferramenta de parsing.
- Correlacionar artefatos de registro com timeline e arquivos.
Ferramentas, sistemas ou marcas citadas
Physical AnalyzerIPEDIEFAutopsyBitLockerWhatsAppPalavras-chave recorrentes
theregistroregistrosmaswindowsfoiheapessedesktopsaoinformacaoessaachosharedsectionrelatoriohorarioforeleDiscussões de origem e mensagens relacionadas
Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.
Origem 001 — 28/06/2017 16:58 a 17:06 — Análise de Registro Windows e arquivo NTUSER.DAT
estou procurando onde tem a informação
achava que era no ntuser.dat, mas estou tentando confirmar
Obrigado! Fico no aguardo por mais informações.
Origem 002 — 27/02/2018 08:44 a 09:09 — Análise de Registro Windows e arquivo NTUSER.DAT
Em alguns relatórios de extração contidos na mídia anexa, a informação de hora está no formato de Tempo Universal Coordenado cuja sigla, na língua inglesa, é representado pelas letras UTC. Os registros de hora contendo a informação UTC+0 correspondem ao fuso horário “0”, para se obter o horário local de Fortaleza dos registros com UTC+0 deve-se subtrair 03 (três) horas do horário especificado no relatório. Já os registros com informação UTC-3, estão no horário local da capital Cearense.
Os registros de chamadas extraídos do chip GSM não possuem identificação de horário, e as informações extraídas do aparelho celular depende do horário configurado no mesmo, e, portanto, não há como a perícia determinar se esta informação estava correta no momento em que o registro foi criado na memória do aparelho analisado.
Os registros de chamadas extraídos do chip GSM não possuem identificação de horário, e as informações extraídas do aparelho celular depende do horário configurado no mesmo, e, portanto, não há como a perícia determinar se esta informação estava correta no momento em que o registro foi criado na memória do aparelho analisado.
Os dois parágrafos que são utilizados para relatar a hora.
Lembrando que no texto não tem uma ressalva explicita do horário de verão.
Origem 003 — 15/08/2019 16:55 a 17:17 — Triagem visual de imagens e vídeos no IPED
Boa tarde senhores. Continuando a saga desse caso. Algum camarada saberia me informar onde eu posso encontrar em que fuso horário GMT a máquina tá configurada?
Na imagem indexada?
Windows. Fica no registro na configuração ativa da máquina
Aí tem dá uma googleada quais as chaves do hive.
Certo.. vou verificar!
Registro vc pode tirar no braço os arquivos e abrir numa ferramenta, tipo tem uma da accsses data que roda em modo "free"
Tem um plugin que adaptei para nova versão do autopsy tb. Mas acho tiro de canhão.
Mais rápido tirar os arquivos da imagem e jogar nessa ferramenta da AD e pronto
https://accessdata.com/product-download/registry-viewer-1-8-0-5
Esses mesmos arquivos?
Registro são outros
👆esses são os da3maquina
Tem os do usuário tb no profile dele, mas acho que no caso só da maquina resolve
Blz! Vou procurar!
No profile tem o ntuser e outros que tem a personalização do usuário
Como a configuração é da máquina, acho que não precisa do usuário. Não sei se o Windows guarda timezone por usuário
Se não me engano, o iped já categoriza os arquivos de registro do Wondows
Windows*
Acho que o IEF tb tem essa informação já
Ele já processa o registro e tira essa informação
Origem 004 — 15/04/2021 14:32 a 15:17 — Análise de Registro Windows e arquivo NTUSER.DAT
Geralmente fica num epoch de 32bits. Acho que se bater próximos na faixa do segundo e garantir que é o mesmo usuário ( cookie, db, etc..) acho que dá para afirmar que foi um usuário nessa máquina. Ainda pode tentar juntar outros elementos do SO tb
Qual seria uma margem, pra cima de pra baixo, de segundos aceitável?
Eu estava pensando em por 5 minutos. 😂
Talvez fazer um teste de ping do servidor e obter a média, seria válido?
O chrome estava vinculado a alguma conta? Pq fortaleceria além do face receber os dados da nuvem do google, suponho
Se fosse comigo, eu analisaria os dados e mostraria as diferenças e estes teste de Ping e deixaria o requisitante definir o que é aceitável ou não.
Igual nos teste de DNA: os peritos afirmam que é 99,[CPF] de chance de compatibilidade, o juiz aceita ou não essa margem de erro.
Igual nos teste de DNA: os peritos afirmam que é 99,[CPF] de chance de compatibilidade, o juiz aceita ou não essa margem de erro.
Não. Aparentemente não. No laudo nada foi citado.
Fiz uma análise preliminar aqui, bateu hora e minuto com o registro do firewall, mas temos uns delay ai de uns 20 segundos entre um registro e outro... Mas preciso saber o fuso registrado do firewall ainda.
Origem 005 — 03/03/2022 10:17 a 10:18 — Extração e análise de mensagens do WhatsApp
Pessoal, nos registros de contatos do PA há uma coluna chamada "Times contacted". Alguém sabe me informar se essa qtde de vezes que foi contatado é referente somente a ligações? seja ela nativa ou via whatsapp? ou tbm está relacionada às mensagens enviadas via algum app de troca de mensagens, ou a alguma outra coisa? Pergunto pois um agente de polícia me questionou acerca disso, onde para um determinado contato nessa coluna constava o valor de 207. Todavia, ao buscar nos registros de ligações existia somente 2 ligações referentes ao contato informado
<Mídia oculta>
coluna informada no relatório
coluna informada no relatório
Origem 006 — 22/06/2023 12:08 a 12:12 — Extração e compatibilidade em Samsung SM-G531H
Pessoal, boa tarde. Alguém tem algum registro de sucesso em FFS ou física em um SM-G531H?
tentei diversos perfis mas sem sucesso
Tenta extrair no cartão.
Após instalar TWRP
Após instalar TWRP
<Mídia oculta>
Ou, ...
Ou, ...
Da pra fazer física
Origem 007 — 06/05/2024 15:41 a 15:47 — Extração e limitações em Motorola XT2345
Boa tarde
Alguém já conseguiu com o Premium ?
Alguém já conseguiu com o Premium ?
Esse aparelho tem algumas variantes (XT2345-1, XT2345-2, XT2345-3, XT2345-4, XT2345-5, XT2345-6).
Aqui não temos registros de sucesso no XT2345-1. O restante não tentamos.
Contudo, no último update houve melhora nos Unisoc. Talvez de boa.
Aqui não temos registros de sucesso no XT2345-1. O restante não tentamos.
Contudo, no último update houve melhora nos Unisoc. Talvez de boa.
Eu nem tenho como ver. IGP-RS tá alagado. 🥲
Origem 008 — 28/06/2024 12:02 a 12:05 — Análise de Registro Windows e arquivo NTUSER.DAT
O meu começou a dar isso depois de dar um crash abrindo uma extração grande. Tentei apagar os arquivos como recomendado pelo [NOME], mas não resolveu. Fiz uma alteração no registro, por sugestão do chatgpt que parece que deu certo
Desktop Heap Limit: The error might be due to the "Desktop Heap" being exhausted. You can increase the Desktop Heap size, but a better long-term solution is to optimize your application to use fewer resources. This includes creating UI elements only when necessary and disposing of them as soon as they are no longer needed (Stack Overflow).
Qual foi a alteração?
Increasing the Desktop Heap limit can help alleviate errors related to "Invalid window handle" by providing more memory space for graphical applications. Here are the steps to increase the Desktop Heap limit in Windows:
Open the Registry Editor:
Press Win + R, type regedit, and press Enter.
Navigate to the Desktop Heap Configuration:
Go to the following registry key [SEGREDO]
Copiar código
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems
Modify the Windows Key [SEGREDO] the Windows key in the right pane and double-click it to edit.
Locate the SharedSection Parameter:
The Windows key value will look something like this:
mathematica
Copiar código
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
The SharedSection parameter specifies the heap size settings.
Modify the SharedSection Values:
The values are in the format: SharedSection=xxxx,yyyy,zzzz
xxxx is the size of the shared heap common to all desktops (usually 1024).
yyyy is the size of the desktop heap for each desktop associated with an interactive window station.
zzzz is the size of the desktop heap for each desktop associated with a non-interactive window station (optional, often not present).
Increase the yyyy value (typically 20480) to a higher value, such as 30720. This increases the desktop heap size for interactive window stations.
Example Modification:
Change:
makefile
Copiar código
SharedSection=1024,20480,768
To something like:
makefile
Copiar código
SharedSection=1024,30720,768
Save and Exit:
Click OK to save the changes and close the Registry Editor.
Restart the Computer:
Restart your computer for the changes to take effect.
Open the Registry Editor:
Press Win + R, type regedit, and press Enter.
Navigate to the Desktop Heap Configuration:
Go to the following registry key [SEGREDO]
Copiar código
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems
Modify the Windows Key [SEGREDO] the Windows key in the right pane and double-click it to edit.
Locate the SharedSection Parameter:
The Windows key value will look something like this:
mathematica
Copiar código
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
The SharedSection parameter specifies the heap size settings.
Modify the SharedSection Values:
The values are in the format: SharedSection=xxxx,yyyy,zzzz
xxxx is the size of the shared heap common to all desktops (usually 1024).
yyyy is the size of the desktop heap for each desktop associated with an interactive window station.
zzzz is the size of the desktop heap for each desktop associated with a non-interactive window station (optional, often not present).
Increase the yyyy value (typically 20480) to a higher value, such as 30720. This increases the desktop heap size for interactive window stations.
Example Modification:
Change:
makefile
Copiar código
SharedSection=1024,20480,768
To something like:
makefile
Copiar código
SharedSection=1024,30720,768
Save and Exit:
Click OK to save the changes and close the Registry Editor.
Restart the Computer:
Restart your computer for the changes to take effect.
essa foi uma das prováveis causas de erro, segundo o chatgpt, e a solução foi a que eu mandei agora acima
Valeu, [MENCAO] vou testar aqui.
no regedit, alterar essa chave [SEGREDO] Manager\SubSystems, mudando o valor de 20480 para 30720
aqui tava dando esse erro mesmo recém reiniciado o computador, só abrindo o physical analyzer, mesmo sem abrir extrações
depois que eu alterei tá abrindo a extração, até agora não deu problema
Origem 009 — 16/07/2024 07:59 a 08:57 — Análise de Registro Windows e arquivo NTUSER.DAT
Vou verificar melhor, mas acho que estava reconhecendo.
Tenho registro de um K50 (LMX520) bloqueado que acho que é também o mesmo K12Max que foi feito no Premium
Tbm temos. São 2 registros de fisica via premium.
Origem 010 — 13/09/2024 16:33 a 17:51 — Chave de recuperação e senha em volume BitLocker
Boa tarde pessoal. Em uma data anterior compartilharam um software para bloquear escrita em dispositivos USB. Não consegui encontrar. Alguém tem ele para disponibilizar.
Pode ser feito mudando uma chave no registro. Esse site explica como e também já tem os arquivos prontos caso você prefira
https://m.majorgeeks.com/content/page/how_to_enable_or_disable_usb_write_protection.html
Eu fiz um _applet_ em Python para esse intento. Ele fica residente na bandeja do Windows e é prático pois sinaliza o _status_ das interfaces USB.
Acredito que é esse que foi compartilhado aqui. <Mensagem editada>
Tem que ter cuidado em confiar demais nessa proteção baseada no registro.
Se o dispositivo for identificado como não sendo de armazenamento ou se usar bitlocker, por exemplo, é possível que os dados sejam alterados e o hash fique diferente do original.
Se o dispositivo for identificado como não sendo de armazenamento ou se usar bitlocker, por exemplo, é possível que os dados sejam alterados e o hash fique diferente do original.
Muito bom, não tinha visto
13/09/2024 17:17 - [TELEFONE]:
13/09/2024 17:21 - [TELEFONE]:
13/09/2024 17:17 - [TELEFONE]:
13/09/2024 17:21 - [TELEFONE]:
Exato. Não é 100%. Temos um adaptador nvme e não bloqueia a escrita apenas modificando o registro.
https://www.profissionaisti.com.br/bloquear-acesso-usb-windows-gpo/
Com esse método bloqueou. 👆🏻
Toda a ferramenta, quer seja digital ou não, tem seu âmbito de aplicação, seu escopo e se não é o caso, então deve-se buscar a ferramenta adequada, conforme mencionou via manipulação das políticas de acesso. 👍🏻
Pela lógica, essa modificação no registro era para bloquear a escrita em qualquer dispositivo espetado em uma porta USB. E a gente aqui acreditava nisso. Até a chegada desse adaptador. 🤦🏻♂️
Entendo, mas como afirmou o colega [NOME], a solução via registro tem limitações. Futuramente vou estudar melhor sobre essas políticas de acesso e quem sabe não gero uma versão atualizada do _applet_ que utilize tal _approach_? Vamos ver...
Origem 011 — 09/12/2024 14:23 a 15:03 — Extração e compatibilidade em Samsung SM-S928W
Boa tarde. Alguém já teve sucesso com o Samsung s928b - s24 Ultra - no Premium?
S9 tive sucesso com bypass
Olá, Adriano.
FFS é possível fazer. Temos um registro dele. Mas BF não sei dizer, pois a senha [SEGREDO] nesse caso.
Já na base de dados da Cellebrite, tem um registro de BF com sucesso em um SM-S928W
FFS é possível fazer. Temos um registro dele. Mas BF não sei dizer, pois a senha [SEGREDO] nesse caso.
Já na base de dados da Cellebrite, tem um registro de BF com sucesso em um SM-S928W
S9 é FDE. Então, se não tiver secure startup ativo, faz física direto no Premium. Nem precisa de BF. <Mensagem editada>
o S9 foi a última linha dos S full disk
S10 ou superior já são FBE, aí precisa do BF.
Esqueci de especificar que está FRIO e é para fazer brute force em PIN.
Onde tenho acesso a esse db da Cellebrite?
Onde tenho acesso a esse db da Cellebrite?
Na tela principal do portal tem essa opção.
Na real tem registro de BF sim
antes carregou apenas 4 registros. Agora carregou beeeeeem mais
Por algum motivo esse campo não aparece no Chrome, apenas no Edge, igual para o botão de suporte.
Valeu!
Valeu!
Origem 012 — 15/01/2025 07:39 a 09:41 — Imagem forense de mídia protegida por BitLocker
Pessoal, bom dia. Td bem? Sobre bloqueio de escrita USB, eu notei que ao fazer o bloqueio via software (alterando o registro), o bloqueio acontece pra pendrive, mas não pra hd externo.
Alguém tem alguma dica, além do uso de bloqueio físico? <Mensagem editada>
Alguém tem alguma dica, além do uso de bloqueio físico? <Mensagem editada>
mas só funciona para dispositivos conectados após a alteraçao do registro
Quando usava Windows eu desligava o automount (acho que no diskpart) e ou montava ro na mão, ou extraia dados via referencia phisica
se precisar eu te mando o arquivo .reg que eu uso
No pendrive, o botão de criar novo arquivo nem aparece. No HD aparece normal. Inclusive consigo criar.
(é um HD meu que estou testando)
(é um HD meu que estou testando)
Pois é
E funcionava normal msm pra HD? Nesse caso tinha que desligar escrita USB e tbm o automount?
E funcionava normal msm pra HD? Nesse caso tinha que desligar escrita USB e tbm o automount?
Não precisava. Ele desligava o mount do windows.
O bloqueio de gravação utilizando o registro do Windows *NÃO* é confiável.
Isso acontece pois ele bloqueia apenas dispositivos que se apresentam como tipo *USB storage*.
O problema é que alguns dispositivos não se apresentam como esse tipo, e o Windows monta eles como leitura/gravação por padrão [SEGREDO] alterando um monte de coisas, principalmente se for NTFS.
Além disso, se a mídia estiver bloqueada com Bitlocker e for inserida a senha, a mídia montada será leitura/gravação, independentemente do registro.
Isso acontece pois ele bloqueia apenas dispositivos que se apresentam como tipo *USB storage*.
O problema é que alguns dispositivos não se apresentam como esse tipo, e o Windows monta eles como leitura/gravação por padrão [SEGREDO] alterando um monte de coisas, principalmente se for NTFS.
Além disso, se a mídia estiver bloqueada com Bitlocker e for inserida a senha, a mídia montada será leitura/gravação, independentemente do registro.
E mesmo quando bloqueia, muitas vezes é no nível de sistema de arquivo apenas, se usar um editor hexadecimal que acesse a unidade física terá capacidade de escrita <Mensagem editada>
Isso mesmo.
Se usar as APIs do Sistema Operacional pode bloquear, mas ainda assim o acesso direto ao disco é possível.
Se usar as APIs do Sistema Operacional pode bloquear, mas ainda assim o acesso direto ao disco é possível.
https://www.profissionaisti.com.br/bloquear-acesso-usb-windows-gpo/
Bom dia! [MENCAO] , tenta esse método.
Origem 013 — 26/08/2025 15:27 a 16:30 — Análise de Registro Windows e arquivo NTUSER.DAT
RMX3930, vcs estão conseguindo extrair?
Normalmente, quando reconhece o chipset, ja vai direto.
Outros, ele precisa esperar o fim do method 4
Outros, ele precisa esperar o fim do method 4
Depois consulto se temos registros. Mas só a noite consigo pq estou no IF
Origem 014 — 24/10/2025 13:33 a 13:33 — Análise de Registro Windows e arquivo NTUSER.DAT
São 2 arquivos de origem. Eu explicaria como se formam esses registros em cada um desses arquivos.
Origem 015 — 28/01/2026 15:33 a 15:39 — Análise de Registro Windows e arquivo NTUSER.DAT
Eles são muito ruins para responder ofício....Caso alguém tiver um bom contato lá e puder compartilhar...
Justamente se não configurar ele só gera log de ligar, desligar e login no equipamento, já analisei o mikrotik, nos logs das regras criadas a opção de gerar log não foi marcada. Fora isso na parte de registro de log o output estava para memória RAM e não para opção disco, então as que poderia haver foram perdidas pois desligaram ele após ataque.
Origem 016 — 24/02/2026 11:53 a 12:19 — Extração e acesso a dados em iPhone 13
Bom dia, meus nobres colegas!
Estou precisando verificar se ouve alteração manual de data/hora de um celular examinado.
Procurei essa informação na linha do tempo e não encontrei nenhum registro (não sei se não existem registros ou não soube procurar.). Alguma dica de como obter essa informação? Desde já agradeço.
Estou precisando verificar se ouve alteração manual de data/hora de um celular examinado.
Procurei essa informação na linha do tempo e não encontrei nenhum registro (não sei se não existem registros ou não soube procurar.). Alguma dica de como obter essa informação? Desde já agradeço.
Bom dia. Eu acho o PA bem limitado para esse tipo de pesquisa. Dependendo do modelo de telefone e da versão do sistema operacional, tem algumas tabelas que são sequenciais e que guardam o timestamp, então é possível ver registros em que o timestamp anda para trás. Eu costumo pesquisar também por logs de NTP, pois a alteração do relógio só funciona se o NTP estiver inacessível.
São dois aparelhos um iphone 13 e um XR
Origem 017 — 15/06/2026 15:38 a 16:00 — Análise de Registro Windows e arquivo NTUSER.DAT
IMG-20260615-WA0012.jpg (arquivo anexado)
Colegas, um APC me pediu ajuda com este quesito d.
alguém já respondeu algo do tipo (vejam que é um relatório da PC, não um laudo) ou tem alguma ideia de como responder?
alguém já respondeu algo do tipo (vejam que é um relatório da PC, não um laudo) ou tem alguma ideia de como responder?
CERTIFICADO DE AUTENTICIDADE
Eu, ______________________________________, na qualidade de responsável técnico da instituição/empresa ______________________________________, certifico que o Relatório Técnico de Análise nº ______, datado de //, foi elaborado de acordo com os procedimentos técnicos aplicáveis, utilizando metodologias reconhecidas e registros devidamente documentados.
Declaro que:
As informações, resultados, medições e conclusões constantes no relatório são autênticos e refletem fielmente os dados obtidos durante a análise realizada.
O relatório não sofreu alterações que comprometam sua integridade após sua emissão oficial.
Os documentos, registros e evidências que deram origem ao relatório encontram-se arquivados e disponíveis para verificação, quando aplicável.
Este certificado é emitido para atestar a autenticidade e a integridade do referido relatório técnico.
Local: _________________________________
Data: //______
Nome do Responsável Técnico
Cargo/Função
Eu, ______________________________________, na qualidade de responsável técnico da instituição/empresa ______________________________________, certifico que o Relatório Técnico de Análise nº ______, datado de //, foi elaborado de acordo com os procedimentos técnicos aplicáveis, utilizando metodologias reconhecidas e registros devidamente documentados.
Declaro que:
As informações, resultados, medições e conclusões constantes no relatório são autênticos e refletem fielmente os dados obtidos durante a análise realizada.
O relatório não sofreu alterações que comprometam sua integridade após sua emissão oficial.
Os documentos, registros e evidências que deram origem ao relatório encontram-se arquivados e disponíveis para verificação, quando aplicável.
Este certificado é emitido para atestar a autenticidade e a integridade do referido relatório técnico.
Local: _________________________________
Data: //______
Nome do Responsável Técnico
Cargo/Função
opa, valeu, meu amigo!