Wiki CompFor
Windows, Registro, navegadores e artefatos de uso

Registro Windows e NTUSER.DAT

Categoria: Windows, Registro, navegadores e artefatos de uso

Objetivo do tema

Consolidar orientações, limitações e achados recorrentes sobre registro Windows e NTUSER.DAT no contexto de exames de computação forense.

Contexto técnico consolidado

As conversas reunidas mencionam ferramentas/tecnologias como Physical Analyzer, IPED, IEF, Autopsy, BitLocker, WhatsApp. Os termos mais recorrentes neste tema incluem: the, registro, registros, mas, windows, foi, heap, esse, desktop, sao. O conteúdo abaixo foi consolidado a partir de mensagens anonimizadas do grupo, preservando as discussões de origem para conferência.

Pontos consolidados

  • Analisar hives de usuário e sistema conforme hipótese investigativa.
  • Registrar caminho do hive e ferramenta de parsing.
  • Correlacionar artefatos de registro com timeline e arquivos.

Ferramentas, sistemas ou marcas citadas

Physical AnalyzerIPEDIEFAutopsyBitLockerWhatsApp

Palavras-chave recorrentes

theregistroregistrosmaswindowsfoiheapessedesktopsaoinformacaoessaachosharedsectionrelatoriohorarioforele

Discussões de origem e mensagens relacionadas

Resumo gerado automaticamente a partir das mensagens anonimizadas. Conferir as mensagens de origem antes de uso em caso concreto.

Origem 001 — 28/06/2017 16:58 a 17:06 — Análise de Registro Windows e arquivo NTUSER.DAT

28/06/2017 16:58 · Membro 0003
estou procurando onde tem a informação
28/06/2017 16:58 · Membro 0003
achava que era no ntuser.dat, mas estou tentando confirmar
28/06/2017 17:06 · Membro 0021
Obrigado! Fico no aguardo por mais informações.

Origem 002 — 27/02/2018 08:44 a 09:09 — Análise de Registro Windows e arquivo NTUSER.DAT

27/02/2018 08:44 · Membro 0013
Em alguns relatórios de extração contidos na mídia anexa, a informação de hora está no formato de Tempo Universal Coordenado cuja sigla, na língua inglesa, é representado pelas letras UTC. Os registros de hora contendo a informação UTC+0 correspondem ao fuso horário “0”, para se obter o horário local de Fortaleza dos registros com UTC+0 deve-se subtrair 03 (três) horas do horário especificado no relatório. Já os registros com informação UTC-3, estão no horário local da capital Cearense.


Os registros de chamadas extraídos do chip GSM não possuem identificação de horário, e as informações extraídas do aparelho celular depende do horário configurado no mesmo, e, portanto, não há como a perícia determinar se esta informação estava correta no momento em que o registro foi criado na memória do aparelho analisado.
27/02/2018 08:45 · Membro 0013
Os dois parágrafos que são utilizados para relatar a hora.
27/02/2018 09:09 · Membro 0013
Lembrando que no texto não tem uma ressalva explicita do horário de verão.

Origem 003 — 15/08/2019 16:55 a 17:17 — Triagem visual de imagens e vídeos no IPED

15/08/2019 16:55 · Membro 0023
Boa tarde senhores. Continuando a saga desse caso. Algum camarada saberia me informar onde eu posso encontrar em que fuso horário GMT a máquina tá configurada?
15/08/2019 16:55 · Membro 0023
Na imagem indexada?
15/08/2019 16:56 · Membro 0048
Windows. Fica no registro na configuração ativa da máquina
15/08/2019 16:59 · Membro 0048
Aí tem dá uma googleada quais as chaves do hive.
15/08/2019 17:00 · Membro 0023
Certo.. vou verificar!
15/08/2019 17:00 · Membro 0048
Registro vc pode tirar no braço os arquivos e abrir numa ferramenta, tipo tem uma da accsses data que roda em modo "free"
15/08/2019 17:01 · Membro 0048
Tem um plugin que adaptei para nova versão do autopsy tb. Mas acho tiro de canhão.
15/08/2019 17:01 · Membro 0048
Mais rápido tirar os arquivos da imagem e jogar nessa ferramenta da AD e pronto
15/08/2019 17:02 · Membro 0048
https://accessdata.com/product-download/registry-viewer-1-8-0-5
15/08/2019 17:04 · Membro 0023
Esses mesmos arquivos?
15/08/2019 17:04 · Membro 0048
Registro são outros
15/08/2019 17:05 · Membro 0048
👆esses são os da3maquina
15/08/2019 17:06 · Membro 0048
Tem os do usuário tb no profile dele, mas acho que no caso só da maquina resolve
15/08/2019 17:06 · Membro 0023
Blz! Vou procurar!
15/08/2019 17:06 · Membro 0048
No profile tem o ntuser e outros que tem a personalização do usuário
15/08/2019 17:08 · Membro 0048
Como a configuração é da máquina, acho que não precisa do usuário. Não sei se o Windows guarda timezone por usuário
15/08/2019 17:11 · Membro 0061
Se não me engano, o iped já categoriza os arquivos de registro do Wondows
15/08/2019 17:12 · Membro 0061
Windows*
15/08/2019 17:16 · Membro 0048
Acho que o IEF tb tem essa informação já
15/08/2019 17:17 · Membro 0048
Ele já processa o registro e tira essa informação

Origem 004 — 15/04/2021 14:32 a 15:17 — Análise de Registro Windows e arquivo NTUSER.DAT

15/04/2021 14:32 · Membro 0048
Geralmente fica num epoch de 32bits. Acho que se bater próximos na faixa do segundo e garantir que é o mesmo usuário ( cookie, db, etc..) acho que dá para afirmar que foi um usuário nessa máquina. Ainda pode tentar juntar outros elementos do SO tb
15/04/2021 14:38 · Membro 0023
Qual seria uma margem, pra cima de pra baixo, de segundos aceitável?
15/04/2021 14:39 · Membro 0023
Eu estava pensando em por 5 minutos. 😂
15/04/2021 14:40 · Membro 0023
Talvez fazer um teste de ping do servidor e obter a média, seria válido?
15/04/2021 14:43 · Membro 0088
O chrome estava vinculado a alguma conta? Pq fortaleceria além do face receber os dados da nuvem do google, suponho
15/04/2021 14:43 · Membro 0084
Se fosse comigo, eu analisaria os dados e mostraria as diferenças e estes teste de Ping e deixaria o requisitante definir o que é aceitável ou não.
Igual nos teste de DNA: os peritos afirmam que é 99,[CPF] de chance de compatibilidade, o juiz aceita ou não essa margem de erro.
15/04/2021 15:15 · Membro 0023
Não. Aparentemente não. No laudo nada foi citado.
15/04/2021 15:17 · Membro 0023
Fiz uma análise preliminar aqui, bateu hora e minuto com o registro do firewall, mas temos uns delay ai de uns 20 segundos entre um registro e outro... Mas preciso saber o fuso registrado do firewall ainda.

Origem 005 — 03/03/2022 10:17 a 10:18 — Extração e análise de mensagens do WhatsApp

03/03/2022 10:17 · Membro 0033
Pessoal, nos registros de contatos do PA há uma coluna chamada "Times contacted". Alguém sabe me informar se essa qtde de vezes que foi contatado é referente somente a ligações? seja ela nativa ou via whatsapp? ou tbm está relacionada às mensagens enviadas via algum app de troca de mensagens, ou a alguma outra coisa? Pergunto pois um agente de polícia me questionou acerca disso, onde para um determinado contato nessa coluna constava o valor de 207. Todavia, ao buscar nos registros de ligações existia somente 2 ligações referentes ao contato informado
03/03/2022 10:18 · Membro 0033
<Mídia oculta>
coluna informada no relatório

Origem 006 — 22/06/2023 12:08 a 12:12 — Extração e compatibilidade em Samsung SM-G531H

22/06/2023 12:08 · Membro 0096
Pessoal, boa tarde. Alguém tem algum registro de sucesso em FFS ou física em um SM-G531H?
22/06/2023 12:08 · Membro 0096
tentei diversos perfis mas sem sucesso
22/06/2023 12:09 · Membro 0080
Tenta extrair no cartão.
Após instalar TWRP
22/06/2023 12:11 · Membro 0080
<Mídia oculta>
Ou, ...
22/06/2023 12:12 · Membro 0080
Da pra fazer física

Origem 007 — 06/05/2024 15:41 a 15:47 — Extração e limitações em Motorola XT2345

06/05/2024 15:41 · Membro 0175
Boa tarde
Alguém já conseguiu com o Premium ?
06/05/2024 15:44 · Membro 0105
Esse aparelho tem algumas variantes (XT2345-1, XT2345-2, XT2345-3, XT2345-4, XT2345-5, XT2345-6).

Aqui não temos registros de sucesso no XT2345-1. O restante não tentamos.

Contudo, no último update houve melhora nos Unisoc. Talvez de boa.
06/05/2024 15:47 · Membro 0146
Eu nem tenho como ver. IGP-RS tá alagado. 🥲

Origem 008 — 28/06/2024 12:02 a 12:05 — Análise de Registro Windows e arquivo NTUSER.DAT

28/06/2024 12:02 · Membro 0003
O meu começou a dar isso depois de dar um crash abrindo uma extração grande. Tentei apagar os arquivos como recomendado pelo [NOME], mas não resolveu. Fiz uma alteração no registro, por sugestão do chatgpt que parece que deu certo
28/06/2024 12:02 · Membro 0003
Desktop Heap Limit: The error might be due to the "Desktop Heap" being exhausted. You can increase the Desktop Heap size, but a better long-term solution is to optimize your application to use fewer resources. This includes creating UI elements only when necessary and disposing of them as soon as they are no longer needed​ (Stack Overflow)​.
28/06/2024 12:02 · Membro 0076
Qual foi a alteração?
28/06/2024 12:03 · Membro 0003
Increasing the Desktop Heap limit can help alleviate errors related to "Invalid window handle" by providing more memory space for graphical applications. Here are the steps to increase the Desktop Heap limit in Windows:

Open the Registry Editor:

Press Win + R, type regedit, and press Enter.
Navigate to the Desktop Heap Configuration:

Go to the following registry key [SEGREDO]
Copiar código
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SubSystems
Modify the Windows Key [SEGREDO] the Windows key in the right pane and double-click it to edit.
Locate the SharedSection Parameter:

The Windows key value will look something like this:
mathematica
Copiar código
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16
The SharedSection parameter specifies the heap size settings.
Modify the SharedSection Values:

The values are in the format: SharedSection=xxxx,yyyy,zzzz
xxxx is the size of the shared heap common to all desktops (usually 1024).
yyyy is the size of the desktop heap for each desktop associated with an interactive window station.
zzzz is the size of the desktop heap for each desktop associated with a non-interactive window station (optional, often not present).
Increase the yyyy value (typically 20480) to a higher value, such as 30720. This increases the desktop heap size for interactive window stations.
Example Modification:

Change:
makefile
Copiar código
SharedSection=1024,20480,768
To something like:
makefile
Copiar código
SharedSection=1024,30720,768
Save and Exit:

Click OK to save the changes and close the Registry Editor.
Restart the Computer:

Restart your computer for the changes to take effect.
28/06/2024 12:03 · Membro 0003
essa foi uma das prováveis causas de erro, segundo o chatgpt, e a solução foi a que eu mandei agora acima
28/06/2024 12:04 · Membro 0076
Valeu, [MENCAO] vou testar aqui.
28/06/2024 12:04 · Membro 0003
no regedit, alterar essa chave [SEGREDO] Manager\SubSystems, mudando o valor de 20480 para 30720
28/06/2024 12:05 · Membro 0003
aqui tava dando esse erro mesmo recém reiniciado o computador, só abrindo o physical analyzer, mesmo sem abrir extrações
28/06/2024 12:05 · Membro 0003
depois que eu alterei tá abrindo a extração, até agora não deu problema

Origem 009 — 16/07/2024 07:59 a 08:57 — Análise de Registro Windows e arquivo NTUSER.DAT

16/07/2024 07:59 · Membro 0155
Vou verificar melhor, mas acho que estava reconhecendo.
16/07/2024 08:13 · Membro 0146
Tenho registro de um K50 (LMX520) bloqueado que acho que é também o mesmo K12Max que foi feito no Premium
16/07/2024 08:57 · Membro 0105
Tbm temos. São 2 registros de fisica via premium.

Origem 010 — 13/09/2024 16:33 a 17:51 — Chave de recuperação e senha em volume BitLocker

13/09/2024 16:33 · Membro 0164
Boa tarde pessoal. Em uma data anterior compartilharam um software para bloquear escrita em dispositivos USB. Não consegui encontrar. Alguém tem ele para disponibilizar.
13/09/2024 16:52 · Membro 0003
Pode ser feito mudando uma chave no registro. Esse site explica como e também já tem os arquivos prontos caso você prefira
13/09/2024 16:52 · Membro 0003
https://m.majorgeeks.com/content/page/how_to_enable_or_disable_usb_write_protection.html
13/09/2024 17:09 · Membro 0037
Eu fiz um _applet_ em Python para esse intento. Ele fica residente na bandeja do Windows e é prático pois sinaliza o _status_ das interfaces USB.
13/09/2024 17:12 · Membro 0164
Acredito que é esse que foi compartilhado aqui. <Mensagem editada>
13/09/2024 17:13 · Membro 0043
Tem que ter cuidado em confiar demais nessa proteção baseada no registro.
Se o dispositivo for identificado como não sendo de armazenamento ou se usar bitlocker, por exemplo, é possível que os dados sejam alterados e o hash fique diferente do original.
13/09/2024 17:13 · Membro 0003
Muito bom, não tinha visto
13/09/2024 17:17 - [TELEFONE]:
13/09/2024 17:21 - [TELEFONE]:
13/09/2024 17:22 · Membro 0009
Exato. Não é 100%. Temos um adaptador nvme e não bloqueia a escrita apenas modificando o registro.
13/09/2024 17:28 · Membro 0009
https://www.profissionaisti.com.br/bloquear-acesso-usb-windows-gpo/
13/09/2024 17:28 · Membro 0009
Com esse método bloqueou. 👆🏻
13/09/2024 17:31 · Membro 0037
Toda a ferramenta, quer seja digital ou não, tem seu âmbito de aplicação, seu escopo e se não é o caso, então deve-se buscar a ferramenta adequada, conforme mencionou via manipulação das políticas de acesso. 👍🏻
13/09/2024 17:47 · Membro 0009
Pela lógica, essa modificação no registro era para bloquear a escrita em qualquer dispositivo espetado em uma porta USB. E a gente aqui acreditava nisso. Até a chegada desse adaptador. 🤦🏻‍♂️
13/09/2024 17:51 · Membro 0037
Entendo, mas como afirmou o colega [NOME], a solução via registro tem limitações. Futuramente vou estudar melhor sobre essas políticas de acesso e quem sabe não gero uma versão atualizada do _applet_ que utilize tal _approach_? Vamos ver...

Origem 011 — 09/12/2024 14:23 a 15:03 — Extração e compatibilidade em Samsung SM-S928W

09/12/2024 14:23 · Membro 0155
Boa tarde. Alguém já teve sucesso com o Samsung s928b - s24 Ultra - no Premium?
09/12/2024 14:26 · Membro 0147
S9 tive sucesso com bypass
09/12/2024 14:36 · Membro 0105
Olá, Adriano.
FFS é possível fazer. Temos um registro dele. Mas BF não sei dizer, pois a senha [SEGREDO] nesse caso.

Já na base de dados da Cellebrite, tem um registro de BF com sucesso em um SM-S928W
09/12/2024 14:37 · Membro 0105
S9 é FDE. Então, se não tiver secure startup ativo, faz física direto no Premium. Nem precisa de BF. <Mensagem editada>
09/12/2024 14:38 · Membro 0105
o S9 foi a última linha dos S full disk
09/12/2024 14:38 · Membro 0105
S10 ou superior já são FBE, aí precisa do BF.
09/12/2024 14:49 · Membro 0155
Esqueci de especificar que está FRIO e é para fazer brute force em PIN.

Onde tenho acesso a esse db da Cellebrite?
09/12/2024 14:51 · Membro 0105
Na tela principal do portal tem essa opção.
09/12/2024 14:53 · Membro 0105
Na real tem registro de BF sim
09/12/2024 14:53 · Membro 0105
antes carregou apenas 4 registros. Agora carregou beeeeeem mais
09/12/2024 15:03 · Membro 0155
Por algum motivo esse campo não aparece no Chrome, apenas no Edge, igual para o botão de suporte.

Valeu!

Origem 012 — 15/01/2025 07:39 a 09:41 — Imagem forense de mídia protegida por BitLocker

15/01/2025 07:39 · Membro 0096
Pessoal, bom dia. Td bem? Sobre bloqueio de escrita USB, eu notei que ao fazer o bloqueio via software (alterando o registro), o bloqueio acontece pra pendrive, mas não pra hd externo.

Alguém tem alguma dica, além do uso de bloqueio físico? <Mensagem editada>
15/01/2025 07:52 · Membro 0166
mas só funciona para dispositivos conectados após a alteraçao do registro
15/01/2025 07:53 · Membro 0048
Quando usava Windows eu desligava o automount (acho que no diskpart) e ou montava ro na mão, ou extraia dados via referencia phisica
15/01/2025 07:53 · Membro 0166
se precisar eu te mando o arquivo .reg que eu uso
15/01/2025 07:53 · Membro 0096
No pendrive, o botão de criar novo arquivo nem aparece. No HD aparece normal. Inclusive consigo criar.

(é um HD meu que estou testando)
15/01/2025 07:54 · Membro 0096
Pois é
E funcionava normal msm pra HD? Nesse caso tinha que desligar escrita USB e tbm o automount?
15/01/2025 07:59 · Membro 0048
Não precisava. Ele desligava o mount do windows.
15/01/2025 07:59 · Membro 0043
O bloqueio de gravação utilizando o registro do Windows *NÃO* é confiável.
Isso acontece pois ele bloqueia apenas dispositivos que se apresentam como tipo *USB storage*.
O problema é que alguns dispositivos não se apresentam como esse tipo, e o Windows monta eles como leitura/gravação por padrão [SEGREDO] alterando um monte de coisas, principalmente se for NTFS.
Além disso, se a mídia estiver bloqueada com Bitlocker e for inserida a senha, a mídia montada será leitura/gravação, independentemente do registro.
15/01/2025 08:09 · Membro 0088
E mesmo quando bloqueia, muitas vezes é no nível de sistema de arquivo apenas, se usar um editor hexadecimal que acesse a unidade física terá capacidade de escrita <Mensagem editada>
15/01/2025 08:10 · Membro 0043
Isso mesmo.
Se usar as APIs do Sistema Operacional pode bloquear, mas ainda assim o acesso direto ao disco é possível.
15/01/2025 09:41 · Membro 0009
https://www.profissionaisti.com.br/bloquear-acesso-usb-windows-gpo/
15/01/2025 09:41 · Membro 0009
Bom dia! [MENCAO] , tenta esse método.

Origem 013 — 26/08/2025 15:27 a 16:30 — Análise de Registro Windows e arquivo NTUSER.DAT

26/08/2025 15:27 · Membro 0088
RMX3930, vcs estão conseguindo extrair?
26/08/2025 16:30 · Membro 0105
Normalmente, quando reconhece o chipset, ja vai direto.

Outros, ele precisa esperar o fim do method 4
26/08/2025 16:30 · Membro 0105
Depois consulto se temos registros. Mas só a noite consigo pq estou no IF

Origem 014 — 24/10/2025 13:33 a 13:33 — Análise de Registro Windows e arquivo NTUSER.DAT

24/10/2025 13:33 · Membro 0183
São 2 arquivos de origem. Eu explicaria como se formam esses registros em cada um desses arquivos.

Origem 015 — 28/01/2026 15:33 a 15:39 — Análise de Registro Windows e arquivo NTUSER.DAT

28/01/2026 15:33 · Membro 0226
Eles são muito ruins para responder ofício....Caso alguém tiver um bom contato lá e puder compartilhar...
28/01/2026 15:39 · Membro 0191
Justamente se não configurar ele só gera log de ligar, desligar e login no equipamento, já analisei o mikrotik, nos logs das regras criadas a opção de gerar log não foi marcada. Fora isso na parte de registro de log o output estava para memória RAM e não para opção disco, então as que poderia haver foram perdidas pois desligaram ele após ataque.

Origem 016 — 24/02/2026 11:53 a 12:19 — Extração e acesso a dados em iPhone 13

24/02/2026 11:53 · Membro 0154
Bom dia, meus nobres colegas!
Estou precisando verificar se ouve alteração manual de data/hora de um celular examinado.
Procurei essa informação na linha do tempo e não encontrei nenhum registro (não sei se não existem registros ou não soube procurar.). Alguma dica de como obter essa informação? Desde já agradeço.
24/02/2026 12:09 · Membro 0207
Bom dia. Eu acho o PA bem limitado para esse tipo de pesquisa. Dependendo do modelo de telefone e da versão do sistema operacional, tem algumas tabelas que são sequenciais e que guardam o timestamp, então é possível ver registros em que o timestamp anda para trás. Eu costumo pesquisar também por logs de NTP, pois a alteração do relógio só funciona se o NTP estiver inacessível.
24/02/2026 12:19 · Membro 0154
São dois aparelhos um iphone 13 e um XR

Origem 017 — 15/06/2026 15:38 a 16:00 — Análise de Registro Windows e arquivo NTUSER.DAT

15/06/2026 15:38 · Membro 0112
IMG-20260615-WA0012.jpg (arquivo anexado)
15/06/2026 15:38 · Membro 0112
Colegas, um APC me pediu ajuda com este quesito d.
alguém já respondeu algo do tipo (vejam que é um relatório da PC, não um laudo) ou tem alguma ideia de como responder?
15/06/2026 15:52 · Membro 0044
CERTIFICADO DE AUTENTICIDADE

Eu, ______________________________________, na qualidade de responsável técnico da instituição/empresa ______________________________________, certifico que o Relatório Técnico de Análise nº ______, datado de //, foi elaborado de acordo com os procedimentos técnicos aplicáveis, utilizando metodologias reconhecidas e registros devidamente documentados.

Declaro que:

As informações, resultados, medições e conclusões constantes no relatório são autênticos e refletem fielmente os dados obtidos durante a análise realizada.
O relatório não sofreu alterações que comprometam sua integridade após sua emissão oficial.
Os documentos, registros e evidências que deram origem ao relatório encontram-se arquivados e disponíveis para verificação, quando aplicável.
Este certificado é emitido para atestar a autenticidade e a integridade do referido relatório técnico.

Local: _________________________________

Data: //______

Nome do Responsável Técnico

Cargo/Função
15/06/2026 16:00 · Membro 0112
opa, valeu, meu amigo!