Analisis & Ringkasan Materi
Memahami Artefak Forensik di Sistem Operasi Windows
Dalam era digital ini, analisis sistem operasi Windows telah menjadi satu-satunya cara untuk mengungkap bukti digital yang akurat dan dapat dipertanggungjawabkan. Sistem operasi Windows adalah perangkat lunak paling penting untuk menjalankan komputer, dan memerlukan pemahaman mendalam tentang artefak forensik untuk mengungkap kegiatan pengguna yang mencurigakan. Dalam modul ini, Edy Susanto, seorang ahli keamanan siber, akan membawa Anda ke dalam dunia artefak forensik di sistem operasi Windows, dan menunjukkan cara mengumpulkan, mengekstrak, dan menganalisis data yang penting untuk mengungkap kegiatan pengguna yang mencurigakan.
Artefak Forensik di Sistem Operasi Windows
Sistem operasi Windows menyimpan berbagai artefak forensik yang dapat digunakan untuk mengungkap kegiatan pengguna yang mencurigakan. Beberapa artefak forensik yang paling penting adalah:
Registry: Registry adalah database hierarkis yang menyimpan pengaturan konfigurasi untuk sistem operasi Windows dan semua aplikasi yang terinstal. Informasi sistem berisi data perangkat keras, perangkat lunak, preferensi pengguna, dan konfigurasi sistem secara menyeluruh. Analisis registry dapat mengungkap aktivitas pengguna, instalasi software, dan perubahan sistem yang kritis.
Event Logs: Event logs adalah catatan kegiatan sistem yang mencatat autentikasi, akses sumber daya, dan perubahan kebijakan keamanan sistem. Event logs sangat penting untuk mengidentifikasi insiden keamanan, melacak aktivitas mencurigakan, dan membangun timeline investigasi digital yang akurat.
Prefetch: Prefetch adalah fitur Windows yang meningkatkan waktu startup aplikasi dengan memuat file yang sering digunakan ke dalam memori secara proaktif. File prefetch (.pf) menyimpan informasi krusial tentang aplikasi yang dijalankan, termasuk waktu eksekusi pertama dan terakhir, jalur file lengkap aplikasi, file dan library yang dimuat, dan frekuensi eksekusi program.
ShimCache: ShimCache adalah database yang menyimpan metadata tentang file executable yang dijalankan pada sistem untuk tujuan kompatibilitas aplikasi. Informasi tersimpan di ShimCache termasuk nama file, ukuran, waktu modifikasi terakhir, dan jalur file lengkap dari aplikasi yang pernah dieksekusi.
LNK Files: LNK files adalah file pintasan yang menunjuk ke file, folder, atau aplikasi target di sistem Windows. Metadata kaya di LNK files berisi lokasi file target, timestamp akses, atribut file, dan informasi volume penyimpanan.
Scheduled Tasks: Scheduled tasks adalah penjadwalan otomatis yang memungkinkan tugas dijalankan pada waktu tertentu atau sebagai respons terhadap event sistem. Informasi tugas termasuk nama tugas, trigger eksekusi, perintah yang dijalankan, dan kredensial akun pengguna.
Mengumpulkan dan Menganalisis Artefak Forensik
Untuk mengungkap kegiatan pengguna yang mencurigakan, Anda perlu mengumpulkan artefak forensik dari sistem target dan menganalisis data yang diperoleh. Berikut adalah langkah-langkah yang dapat Anda lakukan:
Pengumpulan Artefak: Kumpulkan registry, event logs, prefetch, ShimCache, LNK files, scheduled tasks, dan user artefacts dari sistem target.
Ekstraksi Data: Gunakan tool forensik seperti Autopsy, FTK Imager, atau RegRipper untuk mengekstrak dan parsing informasi dari artefak.
Pembuatan Timeline: Gabungkan informasi dari berbagai sumber untuk membuat timeline kasus yang komprehensif dan terkorelasi.
Dengan memahami artefak forensik di sistem operasi Windows dan mengumpulkan, mengekstrak, dan menganalisis data yang penting, Anda dapat mengungkap kegiatan pengguna yang mencurigakan dan membantu mengembangkan profil aktivitas yang komprehensif dan akurat.
Materi presentasi lengkap tersedia untuk diunduh: