Page 1

Windows System Artifact Zihar Mehta 4711010015


Pendahuluan Pengguna windows akan meninggalkan jejak atau artefak yang tersebar di seluruh system komputer. Seperti yang dapat Anda bayangkan, ini cukup berguna dari perspektif investigasi. Individu yang cerdas, bertekad menutupi jejak mereka agar tidak diketahui orang lain. Tantangan forensik adalah untuk mengidentifikasi , melestarikan , mengumpulkan, dan menafsirkan bukti ini dengan benar


DELETED DATA Pengguna awam, menekan tombol delete memberikan rasa keamanan. Bertentangan dengan apa yang banyak orang percaya, menekan tombol hapus tidak terjadi hal apa pun untuk data itu sendiri. File tersebut tidak pergi ke mana mana. " Menghapus " file hanya memberitahu komputer bahwa space memory yg terpakai oleh file tersebut tersedia jika computer membutuhkannya. Data yang dihapus akan tetap ada sampai file lain yang menibannya (replace).


Sleep Modus tidur ini dimaksudkan untuk menghemat energi, tetapi juga dimaksudkan apabila computer dinyalakan akan kembali ke system operasi secepat mungkin. Jumlah daya yang kecil diterapkan pada RAM, menjaga data yang utuh. RAM dianggap memori volatile, yang berarti bahwa data hilang ketika kewenangan dihapus.


Hibernation Hibernasi juga termasuk modus hemat daya tetapi melebihi sleep. Dalam mode ini, semua data dalam RAM ditulis ke hard drive, seperti yang kita tahu, jauh lebih sulit untuk menyingkirkannya.


Hybrid Sleep Hybrid Sleep merupakan perpaduan dari dua mode sebelumnya dan dimaksudkan terutama untuk desktop. Ini membuat jumlah minimal daya yang digunakan untuk RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk. Seperti file halaman, tersangka bertekad menghancurkan bukti dapat mengabaikan file hibernation. penjahat korporasi akan sering mencoba untuk menghindari deteksi dengan menghapus atau menghancurkan bukti pada hard drive mereka sebagai penyelidikan di sekitar mereka. File hibernasi ini , diketahui sebagian besar pengguna, sering terlewat selama ini "delete - a- thons. "


Registry Windows Registry memainkan peran penting dalam pengoperasian PC . Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi.. Dalam konteks itu , Anda dapat melihat betapa pentingnya registri ke komputer Windows. Registri melacak pengguna dan sistem konfigurasi dan preferensi, bukanlah tugas yang sederhana. Dari sudut pandang forensik , dapat memberikan kelimpahan bukti potensial. Banyak artefak kita mencari disimpan di registri . Beberapa bukti potensial dapat mencakup istilah pencarian , program yang dijalankan atau diinstal , alamat web , file yang telah baru dibuka , dan sebagainya. Registry Struktur Registri yang sudah diatur dalam struktur pohon mirip dengan direktori , folder , dan file yang terbiasa bekerja di Windows. Registri ini dibagi menjadi empat tingkatan atau level . Memeriksa registri adalah sesuatu yang dilakukan di hampir setiap pemeriksaan forensik . Melihat registri memerlukan software yang dapat menerjemahkan informasi ini menjadi sesuatu yang bisa kita mengerti.


External Drives Informasi memiliki nilai , nilai terkadang substansial . . Pencurian kekayaan intelektual adalah keprihatinan yang besar. Salah satu cara yang calon pencuri dapat dengan mudah menyelundupkan data yang keluar dari sebuah organisasi adalah dengan cara salah satu perangkat penyimpanan eksternal , seperti thumb drive . Akibatnya , pemeriksa sering diminta untuk menentukan apakah perangkat tersebut telah terpasang ke komputer . Perangkat ini dapat mengambil berbagai bentuk seperti thumb drive atau hard drive eksternal . Selain mencuri informasi , perangkat ini juga dapat digunakan untuk menyuntikkan virus atau pornografi kepada anak.


Recycle Bin File yang tidak diinginkan dapat dipindahkan ke recycle bin beberapa cara yang berbeda . Mereka bias pindah dari item menu atau dengan menyeret dan menjatuhkan file ke recycle bin . Anda bisa klik kanan pada item dan pilih Delete . Manfaat menempatkan file ke recycle bin adalah bahwa kita dapat menggali melalui itu dan tarik file kita kembali Recycle bin jelas salah satu tempat pertama para penguji mencari bukti potensial. Bagi orang awam yang tidak sepenuhnya memahami bagaimana komputer mereka bekerja, mereka menaruh semua file terhapus mereka di recycle bin. Akibatnya , recycle bin adalah tempat yang bagus untuk mencari semua jenis dokumen.


Metadata Metadata yang paling sering didefinisikan sebagai data tentang data . Anda mungkin tidak tahu dengan apa yang Anda lihat . Ada dua metadata yaitu : aplikasi dan file yang sistem . sistem file melacak file dan folder kita juga karena beberapa informasi tentang mereka . File sistem metadata termasuk tanggal dan waktu file atau folder telah dibuat , diakses , atau dimodifikasi . Jika Anda mengklik kanan dan pilih "Properties "


Prefetch Kecepatan membunuh . Atau dalam kasus komputer , itu adalah bahwa kurangnya kecepatan yang membunuh . Prefetching adalah salah satu cara mereka mencoba untuk mempercepat sistem . Prefetch file dapat menunjukkan bahwa aplikasi memang diinstal dan dijalankan pada sistem pada satu waktu . Dirancang untuk menghancurkan data yang dipilih pada hard drive . Meskipun kita mungkin tidak dapat memulihkan bukti asli, kehadiran belaka " Bukti Eliminator " dapat membuktikan menjadi hampir sama memberatkan sebagai file asli sendiri . Menantikan untuk diskusi lebih lanjut tentang " Bukti Eliminator . "


Link Files Link file hanya jalan pintas. Mereka menunjuk ke file lain. Link file dapat dibuat oleh kita. Anda mungkin telah menciptakan shortcut pada desktop anda untuk program favorit anda. Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika mereka diciptakan dan terakhir digunakan. Keberadaan link file bisa menjadi penting. Hal ini dapat digunakan untuk menunjukkan bahwa seseorang benarbenar membuka file tersebut. Hal ini juga dapat digunakan untuk membantah pernyataan bahwa file atau folder tidak pernah ada. Link file juga dapat berisi file path lengkap , bahkan jika perangkat penyimpanan terhubung lagi , seperti thumb drive .


Installed Program Perangkat lunak yang sedang atau telah diinstal pada komputer juga bisa menjadi kepentingan. Hal ini terutama berlaku jika aplikasi yang sama sekarang telah dihapus setelah beberapa titik yang relevan dalam waktu ( yaitu, ketika tersangka menyadari adanya investigasi potensial ). Ada beberapa lokasi pada drive untuk mencari artefak ini. Folder program adalah tempat yang bagus untuk memulai. Link dan prefetch file dua lokasi lain yang juga bisa berbuah.


RINGKASAN • Komputer mencatat sejumlah besar informasi tanpa sepengetahuan sebagian besar pengguna . Artefak ini datang dalam berbagai bentuk dan dapat ditemukan pada seluruh sistem . • Bahkan jika file telah dihapus atau ditimpa , salinan file bisa tetap eksis pada drive dalam berbagai bentuk . Salinan ini sering diabaikan, dihasilkan oleh pekerjaan cetak dan fungsi hibernasi serta restore point . File-file ini juga dapat ditemukan di ruang swap, bagian tertentu dari hard drive yang digunakan ketika sistem dari RAM . • Sistem dan aplikasi yang kami gunakan menghasilkan data tentang data . Informasi ini , dikenal sebagai metadata , dapat memberitahu kita ketika file dibuat , diakses , dimodifikasi , dan dihapus . • Mengetahui apa perangkat lunak yang telah diinstal dan dijalankan bias relevan dengan penyelidikan. Registry Windows dan fungsi prefetching dua sumber informasi ini berpotensi relevan

Windows system artefak  
Read more
Read more
Similar to
Popular now
Just for you