Windows System Artifacts Siti Aisyah 4711010011
Hibernation File Tantangan forensik adalah untuk mengidentifikasi, melestarikan, mengumpulkan, dan menafsirkan bukti ini dengan benar. Dalam bab ini , kita akan melihat lebih dekat di banyak artefak tersebut , tujuan , dan signifikansi forensik mereka.
A. Sleep Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk mendapatkan komputer kembali ke operasi secepat mungkin. Di sini , kecilnya jumlah daya yang terapkan pada RAM untuk menjaga data yang tetap utuh. Ingat , RAM dianggap memori volatile , yang berarti bahwa data hilang ketika kekuasaan akan dihapus .
B. Hibernation Hibernasi adalah juga modus hemat daya tetapi dimaksudkan untuk laptop. Hal ini di sini bahwa kita mulai melihat beberapa potensi manfaat investigasi . Dalam mode ini, semua data dalam RAM ditulis ke hard drive , yang , seperti yang kita tahu , jauh lebih sulit untuk menyingkirkan
C. Sleep Hibration Seperti namanya , tidur hibrida merupakan perpaduan dari dua mode sebelumnya dan dimaksudkan terutama untuk desktop . Ini membuat jumlah minimal daya yang digunakan untukRAM ( melestarikan data dan aplikasi ) dan menulis data ke disk .
Registry Windows Registry memainkan peran penting dalam pengoperasian PC. Microsoft TechNet mendefinisikan registri sebagai "hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat komputer. Dalam konteks itu, Anda dapat melihat betapa pentingnya registri ke komputer Windows. Registri melacak pengguna dan sistem konfigurasi dan preferensi,yang bukanlah tugas yang sederhana. Dari sudut pandang forensik dapat memberikan kelimpahanbukti potensial. Banyak artefak kita mencari disimpan di Registry 67registri . Beberapa bukti potensial dapat mencakup istilah pencarian , program yang dijalankan atau diinstal , alamat web , file yang telah baru dibuka ,dan sebagainya.
Registri Struktur Registri yang sudah diatur dalam struktur pohon mirip dengan direktori , folder , dan file yang terbiasa bekerja dengan di Windows. Registri ini dibagi menjadi empat tingkatan atau level . Memeriksa registri adalah sesuatu yang dilakukan di hampir setiap pemeriksaan forensik. Melihat registri memerlukan alat yang dapat menerjemahkan informasi ini menjadi sesuatu yang bisa kita mengerti. Dua serbaguna forensik utama alat, EnCase dan FTK , melakukan hal itu . Sebagai repositori utama sistem informasi kritis, registri bisa mengandung cukup sedikit bukti . Sebagai bonus tambahan , Registry juga dapat menyimpan informasi kita perlu istirahat file terenkripsi kita temukan .
External Drives Pencurian kekayaan intelektual adalah keprihatinan yang besar. Salah satu cara calon pencuri dapat dengan mudah menyelundupkan data yang keluar dari sebuah organisasi adalah dengan cara salah satu perangkat penyimpanan eksternal , seperti thumb drive. Akibatnya, pemeriksa sering diminta untuk menentukan apakah perangkat tersebut telah terpasang ke komputer. Perangkat ini dapat mengambil bentuk berbagai seperti thumb drive atau hard drive eksternal . Selain mencuri informasi , perangkat ini juga dapat digunakan untuk menyuntikkan virus atau toko pornografi anak . Apakah atau tidak alat tersebut telah terpasang dapat ditentukan oleh data yang terdapat dalam registri . Registri mencatat semacam iniminformasi dengan jumlah yang signifikan detail . Ini memberitahu kita baik vendor dan nomor seri perangkat.
Print Spooling Dalam beberapa investigasi , kegiatan pencetakan tersangka mungkin relevan. Anda mungkin telah melihat bahwa ada sedikit penundaan setelah Anda klik Print . Penundaan ini merupakan indikasi dari sebuah proses disebut spooling.
Pada dasarnya , spooling sementara menyimpan pekerjaan cetak sampai dapat dicetak pada waktu yang lebih nyaman untuk printer ( TechTarget ). Selama prosedur spooling ini, Windows menciptakan sepasang file komplementer. Salah satunya adalah Meta file Ditingkatkan ( EMF ) yang merupakan citra dokumen yang akan dicetak / file spool yang berisi informasi tentang pekerjaan cetak itu sendiri .
Spool file ( SPL . ) Memberitahu kita hal-hal seperti nama printer, nama komputer serta akun user yang mengirim pekerjaan ke printer.
Spool dan file EMF dapat digunakan untuk langsung menghubungkan target kejahatan mereka. Salinan surat pemerasan , kontrak ditempa , daftar klien dicuri , dan peta untuk tempat pembuangan tubuh hanyalah beberapa potong pembuktian emas berpotensi ditambang dari komputer mereka .
Recycle Bin Recycle bin jelas salah satu tempat pertama yang penguji mencari bukti potensial. Manfaat menempatkan file ke recycle bin adalah bahwa kita dapat menggali melalui itu dan tarik file kita kembali .
Metadata Metadata yang paling sering didefinisikan sebagai data tentang data. Ada dua jenis metadata jika Anda akan: aplikasi dan sistem file. Ingat , sistem file melacak file dan folder kita juga karena beberapa informasi tentang mereka . Sistem file metadata termasuk tanggal dan waktu file atau folder telah dibuat , diakses , atau dimodifikasi .
Thumbnail CACHE Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda disebut thumbnail. Thumbnail hanya miniaturversi rekan-rekan mereka yang lebih besar . Ini miniatur diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saat menggunakan Windows Explorer. Windows menciptakan beberapa jenis thumbnail file , tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang sama disebut thumbcache . db . Sebagian besar pengguna sama sekali tidak menyadari bahwa file bahkan ada. Yang kerententang file ini adalah bahwa mereka tetap bahkan setelah gambar asli telah dihapus . Bahkan jika kita tidak memulihkan gambar asli , thumbnail dapat berfungsi sebagai bukti terbaik berikutnya .
Prefetch Prefetching adalah salah satu cara mereka mencoba untuk mempercepat sistem . Prefetch file dapat menunjukkan bahwa aplikasi memang diinstal dan dijalankan pada sistem pada satu waktu. Misalnya, sebuah aplikasi menyeka seperti "Bukti Eliminator " Program seperti ini dirancang untuk menghancurkan data yang dipilih pada hard drive. Meskipun kita mungkin tidak dapat memulihkan bukti asli, kehadiran belaka " Bukti Eliminator " dapat membuktikan menjadi hampir sama memberatkan sebagai file asli sendiri .
Link Files Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika mereka diciptakan dan terakhir digunakan . Keberadaan link file bisa menjadi penting . Hal ini dapat digunakan untuk menunjukkan bahwa seseorang benar-benar membuka file tersebut . Hal ini juga dapat digunakan untuk membantah pernyataan bahwa file atau folder tidak pernah ada . Link file juga dapat berisi file path lengkap , bahkan jika perangkat penyimpanan terhubung lagi , seperti thumb drive .
Program yang diinstal Perangkat lunak yang sedang atau telah diinstal pada komputer juga bisa menjadi kepentingan. Hal ini terutama berlaku jika aplikasi yang sama sekarang telah dihapus setelah beberapa titik yang relevan dalam waktu ( yaitu, ketika tersangka menyadari adanya investigasi potensial ) . Ada beberapa lokasi pada drive untuk mencari artefak ini . Folder program adalah tempat yang bagus untuk memulai . Link dan prefetch file dua lokasi lain yang juga bisa berbuah .
Sekian Dan Terima Kasih