Com o fim do suporte estendido ao Windows 10 em outubro de 2025, a migração corporativa para o Windows 11 impõe uma atualização crítica nas metodologias de análise forense (Digital Forensics and Incident Response – DFIR). Uma análise técnica da Kaspersky detalha como novos artefactos de persistência e mudanças no sistema de ficheiros alteram a recolha de evidências.
A transição de sistema operativo representa mais do que uma atualização de interface; trata-se de uma reestruturação da gestão de dados do utilizador e do kernel. Para os analistas forenses, as ferramentas desenhadas para interpretar a Tabela Mestra de Ficheiros ($MFT) do NTFS ou a base de dados ESE da Pesquisa do Windows enfrentam agora obsolescência técnica face às novas implementações do Windows 11.
Recall: Persistência de dados assistida por IA
A funcionalidade Recall introduz um novo paradigma na recolha de artefactos. Ao contrário dos mecanismos de logging passivos, o Recall opera através da captura contínua de snapshots do framebuffer, processados posteriormente por um modelo de Inteligência Artificial local para extração de contexto semântico (OCR e reconhecimento de objetos).
Do ponto de vista forense, isto gera uma base de dados cronológica de alta fidelidade. Se o Recall estiver ativo antes de um incidente, permite reconstruir a Kill Chain do atacante com precisão visual. Contudo, a Kaspersky alerta para a falibilidade dos filtros de privacidade (baseados em classificadores de IA), que podem falhar na ofuscação de dados PCI-DSS ou credenciais em texto claro.
Tecnicamente, os artefactos gerados pelo Recall residem em diretórios protegidos, mas a sua estrutura de armazenamento torna-se um vetor crítico para data exfiltration caso um ator malicioso obtenha privilégios de SISTEMA ou Administrador.
Migração de ESE para SQLite e persistência de estado
Uma das alterações estruturais mais significativas ocorre no subsistema Windows Search. A Microsoft descontinuou a utilização da base de dados Extensible Storage Engine (ESE) – historicamente localizada no ficheiro Windows.edb – em favor de uma arquitetura modular baseada em três bases de dados SQLite.
Esta alteração invalida os parsers tradicionais de ESE, exigindo novas queries SQL para extrair o histórico de indexação e metadados de ficheiros.
Simultaneamente, a introdução de interfaces com abas (tabs) em aplicações nativas (Notepad, File Explorer, Terminal) cria novos artefactos de “estado de sessão”. No caso do Notepad, o conteúdo de abas não guardadas persiste em disco após o encerramento do processo, permitindo a recuperação de strings e payloads que, em versões anteriores, residiriam apenas na memória volátil (RAM).
ReFS vs. NTFS: O fim da $MFT?
O suporte nativo e alargado ao ReFS (Resilient File System) no Windows 11, agora com suporte para boot e BitLocker, apresenta o maior desafio técnico para a análise de disco. A arquitetura do ReFS difere substancialmente do NTFS:
- Ausência de $MFT: O ReFS não utiliza a Tabela Mestra de Ficheiros, eliminando a fonte primária de análise de metadados e atributos de ficheiros ($STANDARD_INFORMATION, $FILE_NAME).
- Incompatibilidade Legacy: Não suporta nomes de ficheiros curtos (8.3) nem hard links, alterando a forma como o malware pode tentar ofuscar a sua presença.
- Escalabilidade: Suporta volumes até 35 PB, o que exige ferramentas de aquisição de imagem capazes de lidar com endereçamento lógico de grande escala.
Para volumes NTFS que permanecem em uso, os investigadores devem notar alterações no comportamento dos atributos de timestamp nas estruturas $MFT, que divergem do padrão observado no Windows 10.
Execução e Compatibilidade: PCA e NTLM
Para a prova de execução de binários, o Program Compatibility Assistant (PCA) ganha relevância. O Windows 11 introduz novos ficheiros de registo localizados em C:\Windows\appcompat\pca\, essenciais para determinar se e quando um executável antigo ou malicioso foi lançado.
No âmbito do hardening de rede, a descontinuação definitiva do NTLMv1 reduz a superfície de ataque para técnicas de Pass-the-Hash e Relay, obrigando os atacantes a procurar vetores de autenticação mais complexos (como Kerberos ticket manipulation).
Embora a funcionalidade “Windows Timeline” tenha sido removida da UI, a base de dados subjacente (ActivitiesCache.db) permanece no diretório %userprofile%\AppData\Local\ConnectedDevicesPlatform\, contendo ainda registos históricos de atividade do utilizador recuperáveis.
Para mais informações. leia a análise completa da Kaspersky às atualizações dos diferentes recursos no Windows 11 e ao seu impacto no panorama forense da cibersegurança.
Outros artigos interessantes:
