Em um ambiente Windows que havia sido comprometido, um peri...

Pode-se perguntar por que a posição, visualização ou tamanho de uma determinada janela de pasta é importante para os investigadores forenses. Embora essas propriedades possam não ser muito valiosas para uma investigação, o Windows cria vários artefatos adicionais ao armazenar essas propriedades no registro, dando ao investigador uma grande visão da pasta, histórico de navegação de um suspeito, bem como detalhes de qualquer pasta que pode não existir mais em um sistema (devido à exclusão ou por estar localizado em um dispositivo removível).

Para o Windows 7 e posterior, os shellbags também são encontrados no hive UsrClass.dat:

• HKCRConfigurações LocaisSoftwareMicrosoftWindowsShellBags
• HKCRConfigurações LocaisSoftwareMicrosoftWindowsShellBagMRU

fonte: https://www-magnetforensics-com.translate.goog/blog/forensic-analysis-of-windows-shellbags/?_x_tr_sl=en&_x_tr_tl=pt&_x_tr_hl=pt-BR&_x_tr_pto=sc

Integrado ao Microsoft Windows está a capacidade do sistema operacional de rastrear as preferências de exibição de janela do usuário específicas do Windows Explorer. Essas informações, chamadas de informações “ShellBag”, são armazenadas em vários locais no Registro do Windows no sistema operacional Windows.

Alternativa correta: D - Shellbags

A questão aborda a análise forense em ambientes Windows, focando em como identificar pastas que foram acessadas por um usuário específico. Esse tipo de análise é crucial em investigações de segurança, onde é necessário rastrear atividades e acesso a arquivos e pastas dentro do sistema operacional.

Para resolver essa questão, é importante conhecer diferentes componentes e ferramentas do Windows que armazenam dados sobre atividades do sistema e usuários. Vamos analisar cada alternativa para entender por que a correta é a alternativa D.

SAM (Security Account Manager): O SAM armazena informações sobre contas de usuários e senhas no Windows. Embora seja crucial para segurança e autenticação, ele não registra especificamente quais pastas foram acessadas por um usuário.

NTFS: O NTFS (New Technology File System) é o sistema de arquivos padrão do Windows que controla como arquivos são armazenados e recuperados. Ele oferece recursos como permissões de arquivos e registro de operações, mas não é voltado para fornecer uma lista detalhada de pastas acessadas por usuários.

Active Directory: O Active Directory é um serviço de diretório usado para gerenciar permissões e acessar recursos em uma rede. Embora ele armazene muitas informações sobre usuários e computadores, ele não registra detalhes sobre pastas acessadas em um sistema local.

DLLs: As DLLs (Dynamic-Link Libraries) são bibliotecas que contêm código e dados usados por programas do Windows. Elas não têm relação com o registro de atividades de acesso a pastas por usuários.

Shellbags: As Shellbags são chaves de registro no Windows que armazenam detalhes sobre a visualização e configuração de pastas abertas pelo usuário, como caminho da pasta, opções de visualização, posição da janela, entre outros. Elas são extremamente úteis em investigações forenses porque podem revelar quais pastas foram acessadas e quando.

Portanto, a alternativa D - Shellbags é a correta, pois é ela que contém os dados necessários para que um perito forense consiga verificar quais pastas foram acessadas por um determinado usuário.