A reconstituição de eventos em ambientes digitais e a produção de prova pericial idônea em cenários de fraudes corporativas exigem que o perito em computação forense domine artefatos de persistência e execução de processos em nível de kernel e subsistemas do sistema operacional. Comumente, agentes maliciosos ou colaboradores em desconformidade normativa adotam contramedidas forenses baseadas na deleção de binários, limpeza de logs de eventos tradicionais (Event Logs) e purga de diretórios de execução temporária. Diante desse panorama de mitigação ativa, os subcomponentes BAM (Background Activity Moderator) e DAM (Desktop Activity Moderator) emergem como fontes fundamentais de evidência lógica persistente.
Implementados a partir do Windows 10 (versão 1709), o BAM e o DAM operam como drivers de filtro de sistema encarregados de monitorar e moderar o consumo energético de aplicações em segundo plano e em modo desktop, respectivamente. Sob o prisma analítico da perícia forense, a relevância desses componentes reside no fato de que o subsistema consolida esses dados estatísticos diretamente na colmeia SYSTEM do Registro do Windows, especificamente sob a subchave HKLM\SYSTEM\CurrentControlSet\Services\Bam\UserSettings\{SID}. Ao auditar essa estrutura, o investigador obtém um repositório histórico indexado pelo Identificador de Segurança (SID) do usuário lícito.
A decodificação das chaves binárias do BAM e DAM permite extrair o caminho absoluto de origem do arquivo executável (.exe) e o marcador temporal estruturado em formato FILETIME (64-bit), que documenta cronometricamente a última execução do processo com precisão de microssegundos. Visto que este artefato é gerenciado diretamente por drivers protegidos do kernel e possui o propósito de otimização do hardware, ele não é afetado por ferramentas convencionais de otimização de disco ou deleção de software de terceiros. A correlação analítica dos registros BAM/DAM com outros artefatos de execução (como Prefetch, Amcache e Shimcache) confere ao laudo pericial o rigor metodológico e o nexo de causalidade técnica necessários para sustentar litígios no âmbito do Direito Digital e da governança corporativa.
