WINDOWS SYSTEM ARTIFACTS
Tri Puji Widiastuti
PENDAHULUAN Kabar baik bagi kita adalah bahwa kita dapat menggunakan Windows itu sendiri sebagai alat untuk memulihkan data dan melacak jejak yang ditinggalkan oleh pengguna. Karena ini , sangat penting bahwa pemeriksa memiliki pemahaman luas tentang Sistem operasi Windows dan semua fungsinya .
DATA DIHAPUS Menekan tombol hapus tidak melakukan apa pun untuk data itu sendiri . file itu tidak pergi ke mana saja . " Menghapus " file hanya memberitahu komputer bahwa ruang diduduki oleh file tersebut tersedia jika komputer membutuhkannya . Data yang dihapus akan tetap sampai file lain yang ditulis di atas itu .
HIBERNATION FILE ( HIBERFILE.SYS )
Komputer kadang-kadang perlu istirahat dan bisa tidur siang seperti yang kita lakukan. Melalui proses ini " cybernap " , bukti lebih potensial dapat dihasilkan , tergantung tentang bagaimana "deep" PC berangkat tidur. " deep sleep " mode seperti hibernasi dan hybrid sleep menyimpan data ke hard drive sebagai lawan hanya memegangnya di RAM ( seperti "sleep " ) . Modus yang berbeda dimaksudkan untuk menghemat daya dan dapat bervariasi dari laptop ke desktop .
Sleep
Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk mendapatkan komputer kembali ke operasi secepat mungkin . Di sini , kecil jumlah daya terus diterapkan pada RAM , menjaga data yang utuh. Modus tidur tidak berbuat banyak bagi kami forensik karena semua data tetap dalam RAM .
Hibernasi
Hal ini di sini bahwa kita mulai melihat beberapa potensi manfaat investigasi . Dalam mode ini , semua data dalam RAM ditulis ke hard drive , yang , seperti yang kita tahu , jauh lebih sulit untuk menyingkirkan .
Hybrid Sleep Merupakan perpaduan dari dua mode sebelumnya dan dimaksudkan terutama untuk desktop . Ini membuat jumlah minimal daya yang digunakan untuk RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk .
REGISTRY Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat komputer . Dari sudut pandang forensik , dapat memberikan kelimpahan bukti potensial. Banyak artefak kita mencari disimpan di Registry 67 registri . Beberapa bukti potensial dapat mencakup istilah pencarian , program yang dijalankan atau diinstal , alamat web , file yang telah baru dibuka , dan sebagainya.
Registry Struktur Registri yang sudah diatur dalam struktur pohon mirip dengan direktori , folder , dan file yang terbiasa bekerja dengan di Windows. Melihat registri memerlukan alat yang dapat menerjemahkan informasi ini menjadi sesuatu yang bisa kita mengerti. Dua alat serbaguna forensik utama EnCase dan FTK. Registry juga dapat menyimpan informasi kita perlu istirahat file terenkripsi kita temukan .
DARI KASUS FILES : THE WINDOWS REGISTRY Windows Registry membantu aparat penegak hukum di Houston , Texas retak kasus kartu kredit . Dalam hal ini , nomor kartu kredit dicuri tersangka adalah digunakan untuk membeli barang-barang dari Internet .
DRIVE EXTERNAL Salah satu cara calon pencuri dapat dengan mudah menyelundupkan data yang keluar dari sebuah organisasi adalah dengan cara salah satu perangkat penyimpanan eksternal , seperti thumb drive . Selain mencuri informasi , perangkat ini juga dapat digunakan untuk menyuntikkan virus atau toko pornografi anak. Registri mencatat informasi semacam ini dengan jumlah yang signifikan detail . Ini memberitahu kita baik vendor dan nomor seri perangkat.
CETAK SPOOLING
Spooling sementara menyimpan pekerjaan cetak sampai dapat dicetak pada waktu yang lebih nyaman untuk printer ( TechTarget ) . Selama prosedur spooling ini, Windows menciptakan sepasang file komplementer . salah satunya adalah Meta file Ditingkatkan ( EMF ) yang merupakan citra dokumen yang akan dicetak . lainnya itu adalah file spool yang berisi informasi tentang pekerjaan cetak itu sendiri . Spool file ( SPL . ) Memberitahu kita hal-hal seperti nama printer , komputer Nama serta akun user yang mengirim pekerjaan ke printer. Spool dan file EMF dapat digunakan langsung untuk menghubungkan target kejahatan mereka.
RECYCLE BIN File yang kita hapus akan pindah kedalam recycle bin. Manfaat menempatkan file ke recycle bin adalah bahwa kita dapat menggali melalui itu dan tarik file kita kembali. Tidak semua yang dihapus melewati recycle bin. Pertama , jika Anda tekan Shift + Delete , file akan langsung pergi ke ruang yang tidak terisi tanpa pernah pergi melalui recycle bin . Anda juga dapat mengkonfigurasi komputer Anda untuk memotong daur ulang bin sama sekali.
Recycle Bin Bypass
Jika pemeriksa mencurigai bahwa sistem telah ditetapkan untuk memotong recycle bin , pertama hal mereka akan memeriksa akan registri . The " NukeOnDelete " Nilai akan diatur ke " 1 " menunjukkan bahwa fungsi ini telah diaktifkan.
METADATA File sistem metadata termasuk tanggal dan waktu file atau folder telah dibuat , diakses , atau dimodifikasi . Jika Anda mengklik kanan pada file dan pilih "Properties ", Anda dapat melihat tanggal / waktu prangko
THUMBNAIL CACHE Untuk memudahkan melihat gambar-gambar di komputer Anda, Windows menciptakan versi lebih kecil dari foto Anda disebut thumbnail. Windows menciptakan beberapa jenis thumbnail file, tergantung pada versi yang digunakan. Windows XP menciptakan sebuah file bernama thumbs.db. Microsoft Vista dan Windows 7 membuat file yang sama disebut thumbcache. db.
MOST RECENTLY USED (MRU) MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file yang baru saja digunakan. Anda dapat melihat ini dalam tindakan dengan mengklik tombol Start Windows melalui menu file di banyak aplikasi.
MENGEMBALIKAN POIN DAN BAYANGAN SALINAN Mungkin ada saatnya ketika itu hanya lebih mudah (atau perlu) untuk komputer kita untuk kembali ke titik sebelumnya dalam waktu ketika semuanya bekerja dengan baik. Pada Windows, ini disebut poin (RP) memulihkan, dan mereka berfungsi sebagai mesin waktu perjalanan untuk komputer kita.
Restore Points
Snapshot ini dapat digunakan untuk kembali sistem ke urutan kerja. Restore point dibuat dengan cara yang berbeda. Mereka dapat dibuat oleh sistem otomatis sebelum aktivitas sistem besar, seperti menginstal perangkat lunak. Fitur restore point oleh default, dan satu snapshot secara otomatis diproduksi setiap hari.
FILE KASUS : SEJARAH INTERNET & RESTORE POIN Terdakwa pornografi mengaku mengunjungi situs dalam satu akses dan hanya kebetulan. Pemeriksaan setiap file registry yang ditemukan di berbagai restore poin menceritakan cerita yang berbeda secara signifikan. Bukti menunjukkan bahwa tidak hanya telah beberapa situs pornografi anak pernah dikunjungi, namun URL telah diketik langsung ke address bar browser.
Shadow Copy
kita bisa menggunakannya untuk menunjukkan bagaimana file tertentu telah diubah dari waktu ke waktu. Mereka juga dapat menyimpan salinan file yang telah dihapus
PREFETCH Prefetching adalah salah satu cara mereka mencoba untuk mempercepat sistem. Prefetch file dapat menunjukkan bahwa aplikasi memang diinstal dan dijalankan pada sistem pada satu waktu.
LINK FILES Link file hanya shortcut. Mereka menunjuk ke file lain. Link file dapat dibuat oleh kami, atau lebih sering oleh komputer. Anda mungkin telah menciptakan shortcut pada Anda desktop untuk program favorit anda atau folder. Komputer itu sendiri menciptakan mereka di beberapa tempat yang berbeda. Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika mereka diciptakan dan terakhir digunakan. Link file juga dapat berisi file path lengkap, bahkan jika perangkat penyimpanan terhubung lagi, seperti thumb drive.
PROGRAM DIINSTAL Perangkat lunak yang sedang atau telah diinstal pada komputer dipertanyakan juga bisa menjadi kepentingan. Ada beberapa lokasi pada drive untuk mencari artefak ini. Folder program adalah tempat yang bagus untuk memulai. Link dan prefetch file dua lokasi lain yang juga bisa berbuah.