Jump to content
Sign in to follow this  
Flinger

Abrir o ntuser.dat

Recommended Posts

Flinger

Boas. Isto cá anda complicado, com o windows 7 :D

Agora preciso abrir e analisar o ficheiro ntuser.dat de uma conta de um dos PC's. Já os conseguir copiar para uma outra pasta, mas não os consigo fazer aparecer no explorer nem por nada. Já tentei usar o CACLS para mudar as permissões dos ficheiros para o meu user, mas nada feito.

Alguma ideia? Já agora, alguém sabe qual o formato do ficheiro, e qual será a melhor forma de fazer uma análise aos conteúdos do mesmo?

Share this post


Link to post
Share on other sites
apocsantos

Boa tarde,

Partindo do principio que é um ficheiro do Active Directory existem várias aplicações capazes de a abrir.

Assim de cabeça não me recorda muito bem, mas tenho ideia que existem ferrramentas em linha de comandos, que te permitem aceder a esses dados. Só vendo os apontamentos é que te consigo confirmar.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites
Flinger

Abri-o no linux, com o hex editor, mas fica muito complicado retirar de lá qualquer informação.

Estava à procura de indícios de cópia não autorizada de ficheiros para um disco USB, mas pelo que leio vai ser muito complicado conseguir algo.

Share this post


Link to post
Share on other sites
apocsantos

Boa noite,

Interessante... no ntusers.dat não vai ser fácil encontrar esse tipo de informação, mais provávelmente encontras no eventviewer informação da ligação de dispositivos do tipo "mass storage device", do que no ntusers.dat, depois disso tens uma grande tarefa de cruzamento de informação, para encontrares a informação que procuras, "caso exista".

O ntusers.dat creio que o consigas analisar bem com o FRED (Forensic Registry Editor) ou o ntreg, mas para uma pesquisa a esse nível vais tar de fazer mais do que "cheirar" nesse ficheiro para obter dados "sólidos".

Se a maquina estivesse ligada numa rede com um Active Directory, tinhas a "vida mais simplificada", podias simplesmente cheirar nos logs, (caso o servidor estivesse a gerar logs). De qualquer das formas tenta obter os ficheiros dos eventos da maquina, que ficam disponivies no eventviewer, e cruza essa informação com datas e horas de modificação e acesso a ficheiros que suspeites terem sido alvo da cópia. Por aí podes obter mais alguma informação que te possa guiar a mais informação ainda.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.