Peritos criminais receberam para exame um equipamento com sistema operacional Windows sob a suspeita de que o criminoso tenha instalado um aplicativo espião oculto que captura dados do usuário. A equipe de investigação necessita saber o nome do executável, a quantidade de vezes que foi executado, a data e o horário em que foi executado pela última vez. Onde os peritos criminais podem buscar essas informações?
No Prefetch, geralmente gravado na pasta “C:\Windows\Prefetch”.
Nos setores não alocados do disco, pois, como se trata de aplicativo espião oculto, deixa registros em setores ocultos do disco.
Na pasta “%Drive%\%Recycled\INFO2”, se for Windows 98, ou na pasta “%Drive%\%SID%\INFO2”, se for Windows XP.
Na chave de registro do Windows “HKEY_USERS.DEFAULT”, que contém registros da atividade do teclado, pois o aplicativo espião provavelmente era um Keylogger.
Na chave de registro do Windows “HKEY_LOCAL_MACHINE\SAM.LOG”, que contém registros da atividade do teclado, pois o aplicativo espião provavelmente era um Keylogger.