Com o fim do suporte oficial ao Windows 10 em outubro de 2025, a comunidade de cibersegurança entra numa nova era: a do Windows 11 como única base tecnológica activa no ecossistema Microsoft. E isso significa mudanças profundas na forma como se investiga, reconstrói e interpreta a actividade digital num sistema comprometido.
Windows 11, a actualização que está a reescrever a análise forense
Uma nova análise da Kaspersky revela exactamente como estas alterações influenciam o trabalho forense, desde novos artefactos indispensáveis até funcionalidades controversas como o já famoso Recall.
A lenta migração para Windows 11 e porque isso importa para a segurança
Apesar de a migração estar a ser mais lenta do que o previsto, com muitos sistemas empresariais e pessoais ainda presos ao Windows 10, a Microsoft foi clara: o suporte terminou. Sem patches de segurança, o Windows 10 torna-se um risco evidente, obrigando equipas de TI, departamentos forenses e analistas a preparar-se para um novo panorama de investigação digital dominado pelo Windows 11.
A Kaspersky analisou exatamente o que muda e como as equipas devem adaptar processos e ferramentas.
Recall, a funcionalidade que pode ser bênção forense e pesadelo de privacidade
O recurso mais controverso do Windows 11 chama-se Recall.
Trata-se de uma ferramenta que captura continuamente imagens do ecrã, utiliza IA local para extrair informação e armazena tudo em formato pesquisável.
Para especialistas forenses, isto é ouro puro.
Para analistas de privacidade, um alerta vermelho permanente.
O Recall inclui um filtro destinado a bloquear conteúdos sensíveis, como sessões privadas, gestores de palavras-passe ou formulários bancários. Mas, segundo a Kaspersky, este filtro está longe de ser infalível.
O problema
Um atacante pode ativar o Recall sem conhecimento do utilizador.
O potencial
Se o Recall estiver ativo antes de um incidente, permite reconstruir toda a sequência de ações de um cibercriminoso, passo a passo, com detalhes que nunca estiveram acessíveis noutras versões do Windows.
Por isso, está desativado por defeito em ambientes corporativos. Mas o risco – e o valor forense – continuam enormes.
Notepad, File Explorer e Command Prompt ganham abas e novos artefactos
As aplicações mais básicas do Windows receberam melhorias estruturais.
O Notepad mantém agora o estado das abas mesmo depois de encerrado, criando novos artefactos úteis para saber o que estava aberto antes de um incidente.
O File Explorer e o Command Prompt passam também a suportar multitab, alterando padrões de registo que as equipas forenses utilizavam há mais de uma década.
Pesquisa do Windows: adeus ao antigo Windows.edb, olá SQLite
Outra mudança crítica é a substituição da base de dados única Windows.edb por três bases de dados SQLite independentes.
Esta alteração traz:
• melhor desempenho
• mais transparência
• indexação modular
• menos corrupção de ficheiros
E, claro, novos pontos de análise forense a considerar.
Alterações nos artefactos clássicos que podem enganar investigadores
A Kaspersky alerta para mudanças menos óbvias, mas fundamentais:
NTFS com comportamento diferente
As estruturas $MFT, $STANDARD_INFORMATION e $FILE_NAME foram alteradas em relação ao Windows 10. Para quem reconstrói cronologias, isto é crítico.
PCA com novos ficheiros
O Assistente de Compatibilidade de Programas gera agora novos ficheiros no diretório appcompat que são relevantes para perceber que aplicações correram e como.
Adeus NTLMv1
A autenticação antiga é finalmente descontinuada, reduzindo espaço para ataques pass-the-hash.
Timeline já não existe, mas ainda deixa rasto
O recurso Windows Timeline foi removido, mas a sua base de dados permanece no sistema, ainda útil para investigações.
ReFS ganha protagonismo
O Windows 11 permite ser instalado directamente em ReFS, com suporte para BitLocker.
O problema?
O ReFS não tem MFT, não gera nomes curtos, não suporta hard links e difere radicalmente do NTFS, exigindo metodologias forenses diferentes.
Kaspersky sublinha: é uma nova era para a ciberforense
O Windows 11 não é apenas um novo sistema operativo.
É um novo paradigma.
Traz ferramentas poderosas e novos desafios. Exige que especialistas reavaliem técnicas, ferramentas e metodologias.
Para a Kaspersky, a mensagem é clara: quem investiga incidentes digitais precisa de compreender o que mudou, onde procurar e como interpretar.
A análise completa está disponível no relatório oficial.
Windows 11 em suma
O Windows 11 inaugura uma fase crítica para a investigação digital. Entre funcionalidades polémicas como o Recall, alterações profundas aos artefactos clássicos e a introdução de novos sistemas de ficheiros, os profissionais forenses enfrentam um terreno diferente, complexo e cheio de oportunidades – para o bem e para o mal.
