Issuu on Google+

WINDOWS SYSTEM ARTIFACTS Ria Rizky Fatmawati


DATA DIHAPUS Untuk rata-rata pengguna , menekan tombol delete memberikan rasa memuaskan keamanan . " Menghapus " file hanya memberitahu komputer bahwa ruang diduduki oleh file tersebut tersedia jika komputer membutuhkannya . Data yang dihapus akan tetap sampai file lain yang ditulis di atas itu. Hal ini dapat mengambil beberapa waktu, jika dilakukan sama sekali.


Hibernation File (HIBERFILE.SYS ) Melalui proses " cybernap ", bukti lebih potensial dapat dihasilkan. Seperti kita ketahui , data ditulis ke drive itu sendiri lebih gigih dan dapat dipulihkan . Ada kemungkinan bahwa file yang dihapus oleh tersangka masih bisa ditemukan. Hibernation adalah modus hemat daya tetapi dimaksudkan untuk laptop agak dari desktop . Hal di sini bahwa kita mulai melihat beberapa potensi manfaat investigasi . Dalam mode ini , semua data dalam RAM ditulis ke hard drive ,seperti yang kita tahu , jauh lebih sulit untuk menyingkirkan .


Hybrid Sleep Seperti namanya , hybrid sleep merupakan perpaduan dari dua mode sebelumnya dan dimaksudkan terutama untuk desktop . Ini membuat jumlah minimal daya yang digunakan untuk RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk . Seperti file halaman , tersangka bertekad menghancurkan bukti dapat mengabaikan hibernation file ini. Pedofil atau penjahat korporasi akan sering mencoba untuk menghindari deteksi dengan menghapus atau menghancurkan bukti pada hard drive mereka sebagai penyelidikan menutup di sekitar mereka . Hibernation file ini , diketahui sebagian besar pengguna , sering terlewat selama ini menit terakhir "delete - athons . "


Registry Windows Registry memainkan peran penting dalam pengoperasian PC. Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat komputer . Dalam konteks itu , Anda dapat melihat betapa pentingnya registri ke komputer Windows. Registry melacak pengguna dan sistem konfigurasi dan preferensi. yang bukanlah tugas yang sederhana. Dari sudut pandang forensik , dapat memberikan kelimpahan bukti potensial. Banyak artefak yang kita cari disimpan di Registry. Beberapa bukti potensial dapat mencakup istilah pencarian , program yang dijalankan atau diinstal , alamat web , file yang telah baru dibuka , dan sebagainya.


Struktur Registry Registry yang sudah diatur dalam struktur pohon mirip dengan direktori , folder , dan file yang terbiasa bekerja dengan di Windows. Registry ini dibagi menjadi empat tingkatan atau level . Memeriksa registry adalah sesuatu yang dilakukan di hampir setiap pemeriksaan forensik . Melihat registry memerlukan alat yang dapat menerjemahkan informasi ini menjadi sesuatu yang bisa kita mengerti. Dua serbaguna alat utama forensik dan FTK , melakukan hal itu . Sebagai repositori utama sistem informasi kritis, registry bisa mengandung cukup sedikit bukti . Sebagai bonus tambahan , Registry juga dapat menyimpan informasi file terenkripsi.


Drive Eksternal Informasi memiliki nilai , nilai terkadang substansial . Mereka tidak menjaga rumus untuk Coke di bawah kunci. Pencurian kekayaan intelektual adalah keprihatinan besar. Salah satu cara yang calon pencuri dapat dengan mudah menyelundupkan data yang keluar dari sebuah organisasi adalah dengan cara salah satu perangkat penyimpanan eksternal , seperti thumb drive . Akibatnya , pemeriksa sering diminta untuk menentukan apakah perangkat tersebut memiliki telah terpasang ke komputer . Perangkat ini dapat mengambil bentuk berbagai seperti thumb drive atau hard drive eksternal . Selain mencuri informasi , perangkat ini juga dapat digunakan untuk menyuntikkan virus atau toko pornografi anak . Apakah alat tersebut telah terpasang dapat ditentukan oleh data yang terdapat dalam registry . Registry mencatat semacam ini informasi dengan jumlah yang signifikan detail . Ini memberitahu kita baik vendor dan nomor seri perangkat.


CETAK spooling Anda mungkin telah melihat bahwa ada sedikit penundaan setelah Anda klik Print . Penundaan ini merupakan indikasi dari sebuah proses disebut spooling . Pada dasarnya , spooling sementara menyimpan pekerjaan cetak sampai dapat dicetak pada waktu yang lebih nyaman untuk printer ( TechTarget ) . Selama prosedur spooling , Windows menciptakan sepasang file komplementer . salah satunya adalah Meta file Ditingkatkan ( EMF ) yang merupakan citra dokumen yang akan dicetak . Itu lainnya adalah file spool yang berisi informasi tentang pekerjaan cetak itu sendiri . Ada satu dari masing-masing untuk setiap pekerjaan cetak . Apa jenis informasi yang kita dapat memulihkan dari file spool ? Spool file ( SPL . ) Memberitahu kita hal-hal seperti nama printer , nama komputer serta akun user yang mengirim pekerjaan ke printer . salah satu atau kedua file mungkin memiliki nilai pembuktian . Masalahnya adalah mereka tidak tetap sekitar panjang . Bahkan , mereka biasanya dihapus secara otomatis setelah pekerjaan cetak selesai . Namun, ada beberapa pengecualian .


Pengecualian pertama terjadi jika ada beberapa jenis masalah dan dokumen tidak tercetak . Yang kedua adalah bahwa komputer yang memulai pekerjaan cetak dapat dibentuk untuk menyimpan salinan . Beberapa perusahaan mungkin menemukan konfigurasi ini menarik jika mereka memiliki beberapa alasan untuk menggantung ke salinan . Spool dan file EMF dapat digunakan untuk langsung menghubungkan target kejahatan mereka. Salinan surat pemerasan , kontrak ditempa , daftar klien dicuri , dan peta untuk tempat pembuangan hanyalah beberapa potong pembuktian berpotensi dari komputer mereka .


METADATA Metadata yang paling sering didefinisikan sebagai data tentang data . Odds yang Anda telah metadata di beberapa titik . Anda mungkin tidak tahu bahwa apa yang Anda lihat . Ada dua metadata : aplikasi dan file sistem . Ingat , sistem file melacak file dan folder kita juga karena beberapa informasi tentang mereka . File sistem metadata termasuk tanggal dan waktu file atau folder telah dibuat , diakses , atau dimodifikasi .


Thumbnail CACHE Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda disebut thumbnail . Thumbnail hanya miniatur versi rekan-rekan mereka yang lebih besar . Miniatur ini diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saat menggunakan Windows Explorer . Windows menciptakan beberapa jenis thumbnail file , tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang sama disebut thumbcache . db .


MRU MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file yang baru saja digunakan . Anda dapat melihat ini dalam tindakan dengan mengklik tombol Start Windows melalui menu file di banyak aplikasi .


PREFETCH Prefetching adalah salah satu cara mereka mencoba untuk mempercepat sistem . Prefetch file dapat menunjukkan bahwa aplikasi memang diinstal dan dijalankan pada sistem pada satu waktu . Ambil , misalnya, sebuah aplikasi menyeka seperti " Bukti Eliminator “. Program seperti ini dirancang untuk menghancurkan data yang dipilih pada hard drive . Meskipun kita mungkin tidak dapat memulihkan bukti asli, kehadiran belaka " Bukti Eliminator " dapat membuktikan menjadi hampir sama memberatkan sebagai file asli sendiri .


Ebook2 ria