Análise nos registros do Windows – descobrindo a última vez que o computador foi ligado.

Em sistemas anteriores ao Windows Vista vá em:

 

C:\windows\system32\config\

 

Poderá encontrar os arquivos SysEvent.evt (logs de sistema), AppEvent.evt (logs de aplicativos) e SecEvent.evt (logs de segurança).

 

 

Em sistemas posteriores ao Windows Vista vá em:

 

C:\Windows\System32\winevt\Logs\

 

Procure por pelo arquivos .evtx que deseja analisar, neste caso o System.evtx.

 

Arquivos de logs de eventos do Windows, são uma base de dados com registros que relatam todo acontecimento com o sistema, segurança e aplicações.

 

No log de eventos “sistema” é possível descobrir quando um computador foi desligado, reiniciado ou até mesmo desligado incorretamente.

Event ID 6005:

Indica quando o computador foi ligado;

 

Event ID 6006:

Indica que o computador foi desligado;

 

Event ID 6008:

Indica que o computador foi desligado incorretamente;

 

 

Coletaremos as informações com o sistema operativo Windows desligado, utilizaremos um Linux para essa análise.

Nesse exemplo o sistema operacional é posterior ao Windows Vista, então vamos navegar até a pasta “C:\Windows\System32\winevt\Logs\como mostra a Imagem 1:

 

$ cd Windows/System32/winevt/Logs/

 

Imagem 1

 

Dentro dessa pasta existem vários arquivos de logs, vamos buscar pelo System.evtx, para isso veja a Imagem 2:

 

$ ls System.evtx

 

Imagem 2

 

Agora vamos exportar o arquivos System.evtx para Sys.txt, acompanhe o exemplo da Imagem 3:

$ sudo evtxexport System.evtx > /home/morthar/pericia/Sys.txt

 

Imagem 3

 

Como vimos acima o ID 6005 em decimal, mostra todas as vezes que o computador foi ligado, da primeira a última, mas no log, esse número 6005 está em hexadecimal, então se procurar por 6005, não iremos encontrar o registro, então vamos converter para hexadecimal, acompanhe na Imagem 3:

$ echo “obase=16; 6005” | bc

 

Imagem 4

 

Sabemos agora que 6005 é 1775 em hexadecimal, iremos até a pasta onde salvamos o arquivo Sys.txt, veja o arquivo na Imagem 5:

$ ls

 

Imagem 5

 

 

Por fim, usando o editor de texto vim buscaremos o registro 1775, veja o exemplo na Imagem 6:

$ vim Sys.txt

 

Imagem 6

 

Para encontrarmos a última vez que o computador foi ligado, devemos buscar no vim usando /1775, observe a Imagem 7:

 

Imagem 7

 

Após iniciar a pesquisa, devemos continuar procurando até o último registro, para isso devemos apertar a tecla N até encontrarmos o último registro 1775, veja na Imagem 8:

 

Imagem 8

 

Podemos ver que a última vez que o computador esteve ligado, foi na data de 19 de Novembro de 2017 ás 18:16:40 em UTC.

 


Autor: Lucas Thyerre – Perito em Computação Forense AD-HOC.

Para quaisquer dúvidas ou simplesmente trocar uma ideia, me chame no Telegram :).

Usuário Lucas Thyerre: @hkkl0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Ahhhh :(

Nosso site tem anúncios que ajudam a manter o serviço online e a informação disponível para todos.

Por favor, se possível, desative o AdBlock enquanto estiver aqui com a gente, ok? <3

Muito obrigado!

AdBlock detectado!

Ahhhh :(

Nosso site tem anúncios que ajudam a manter o serviço online e a informação disponível para todos.

Por favor, se possível, desative o AdBlock enquanto estiver aqui com a gente, ok? <3

Muito obrigado!