Windows system artifacts baskoro aditya rahman(4711010002)

Page 1


Tantangan forensik adalah untuk mengidentifikasi, melestarikan, mengumpulkan, dan menafsirkan bukti dengan benar. Dalam bab ini, kita akan melihat lebih dekat di banyak artefak tersebut, tujuan dan signifikansi forensik.


Untuk rata-rata pengguna , menekan tombol delete memberikan rasa yang memuaskan untuk keamanan. Dengan klik mouse, kita berpikir data kami selamanya dilenyapkan , tidak pernah lagi untuk melihat data tersebut lagi, menekan tombol hapus tidak melakukan apa pun untuk data itu sendiri . Itu file tidak pergi ke mana saja . " Menghapus " file hanya memberitahu komputer bahwa ruang diduduki oleh file tersebut tersedia jika komputer membutuhkannya . Data yang dihapus akan tetap sampai file lain yang ditulis. Hal ini dapat mengambil beberapa waktu, jika dilakukan sama sekali.


Sleep Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk mendapatkan komputer kembali ke operasi secepat mungkin.

Hibernation Hibernasi adalah juga modus hemat daya tetapi dimaksudkan untuk laptop dari desktop . Hal ini di sini bahwa kita mulai melihat beberapa potensi manfaat investigasi .

Hybris Sleep Seperti namanya , tidur hibrida merupakan perpaduan dari dua mode sebelumnya dan dimaksudkan terutama untuk desktop . Ini membuat jumlah minimal daya yang digunakan untuk RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk .


Windows Registry memainkan peran penting dalam pengoperasian PC.Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat komputer . Dalam konteks itu , Anda dapat melihat betapa pentingnya registri ke komputer Windows.


Windows Registry membantu aparat penegak hukum di Houston , Texas retak kasus kartu kredit . Dalam hal ini , nomor kartu kredit dicuri tersangka adalah digunakan untuk membeli barang-barang dari Internet . Dua tersangka dalam kasus ini , yang sudah menikah. Pasangan ini ditangkap setelah penurunan terkendali barang dipesan dari Internet. Pemeriksaan NTUSER.DAT komputer , Registry , dan Dilindungi Penyimpanan informasi Provider System, menemukan daftar beberapa lainnya nama, alamat , dan nomor kartu kredit yang mana yang digunakan secara online untuk membeli item


Jika pemeriksa mencurigai bahwa sistem telah ditetapkan untuk memotong recycle bin , pertama hal mereka akan memeriksa akan registri . The " NukeOnDelete " Nilai akan diatur ke" 1 " menunjukkan bahwa fungsi ini telah diaktifkan

( Lihat Gambar 5.1 .)


Metadata yang paling sering didefinisikan sebagai data tentang data . Odds yang Anda telah dating di metadata di beberapa titik . Anda mungkin tidak tahu bahwa apa yang Anda melihat . Ada dua rasa metadata jika Anda akan: aplikasi dan file yang sistem . Ingat , sistem file melacak file dan folder kita juga karena beberapa informasi tentang mereka . File sistem metadata termasuk tanggal dan waktu file atau folder telah dibuat , diakses , atau dimodifikasi . Jika Anda mengklik kanan pada file dan pilih "Properties ", Anda dapat melihat tanggal / waktu prangko ini

Gambar 5.2


Meskipun metadata yang digunakan untuk menjadi salah satu rahasia terbaik yang terjaga kami , itu tidak ada lagi. Para penjahat bukan satu-satunya memperhatikan. Korporasi , hokum perusahaan , dan warga negara hanya beberapa orang-orang khawatir tentang metadata dan informasi yang terkandung di dalamnya . Ini keprihatinan yang sah sedang ditangani dengan benar-benar menghapus metadata sebelum berbagi file-file dengan orang lain . Banyak alat yang ada hanya untuk tujuan itu . Sebagai contoh , firma hukum rutin menggosok metadata dari semua dokumen outbound , seperti yang ditransmisikan melalui e -mail . Bagi individu yang berpikiran privasi , versi yang lebih baru Microsoft Word memiliki kemampuan untuk mendeteksi dan menghapus metadata .


Gambar 5.3

Gambar 5.4


Metadata dapat membantu peneliti mengidentifikasi semua tersangka dalam kasus dan memulihkan lebih banyak bukti . Ambil kasus ini dari Houston , Texas mengenai produksi kartu kredit palsu . Para tersangka dalam kasus ini digunakan " skim " informasi kartu dalam proses produksi kartu mereka . Kartu kredit " skimming " adalah ketika pencuri ambil data dari strip magnetik di belakang kartu kredit dan debit . ini sering terjadi selama transaksi yang sah , seperti ketika Anda menggunakan kartu Anda untuk membayar untuk makan malam . Setelah mengidentifikasi tersangka utama mereka, polisi menangkapnya dan menggeledah komputernya . Pada akhirnya , pencarian komputer mengecewakan . Pencarian hanya menemukan satu dokumen Microsoft Word yang berisi " skim " informasi. Selain itu , pencarian tempat tinggal tidak menemukan hardware skimmer dan ada ada perangkat lunak menggelapkan terletak pada komputer .


Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda disebut thumbnail . Thumbnail hanya miniature versi rekanrekan mereka yang lebih besar . Ini miniatur diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saat menggunakan Windows Explorer . Windows menciptakan beberapa jenis thumbnail file , tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang sama disebut thumbcache . db .


MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file yang baru saja digunakan . Anda dapat melihat ini dalam tindakan dengan mengklik tombol Start Windows melalui menu file di banyak aplikasi .


Sebuah terdakwa dituduh memiliki pornografi anak mengklaim bahwa ia memiliki mengunjungi situs yang dimaksud hanya pada satu aksesi , dan itu hanya kebetulan . Untuk membantah klaim ini , pemeriksa beralih ke restore point untuk dua sebelumnya bulan . Pemeriksaan setiap file registry yang ditemukan di berbagai restore poin menceritakan cerita yang berbeda secara signifikan. Bukti menunjukkan bahwa tidak hanya telah beberapa situs pornografi anak telah dikunjungi , namun URL telah diketik langsung ke address bar browser , menghancurkan klaimnya bahwa situs itu dikunjungi oleh kecelakaan


Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika mereka diciptakan dan terakhir digunakan . Keberadaan link file bisa menjadi penting . Hal ini dapat digunakan untuk menunjukkan bahwa seseorang benar-benar membuka file tersebut . Hal ini juga dapat digunakan untuk membantah pernyataan bahwa file atau folder tidak pernah ada . Link file juga dapat berisi file path lengkap , bahkan jika perangkat penyimpanan terhubung lagi , seperti thumb drive .


Perangkat lunak yang sedang atau telah diinstal pada komputer mempertanyakan juga bisa menjadi kepentingan. Hal ini terutama berlaku jika aplikasi yang sama sekarang telah dihapus setelah beberapa titik yang relevan dalam waktu ( yaitu, ketika tersangka menyadari adanya investigasi potensial ) . Ada beberapa lokasi pada drive untuk mencari artefak ini . Folder program adalah tempat yang bagus untuk memulai . Link dan prefetch file dua lokasi lain yang juga bisa berbuah .


Komputer mencatat sejumlah besar informasi tanpa sepengetahuan sebagian besar pengguna . Artefak ini datang dalam berbagai bentuk dan dapat ditemukan seluruh sistem . Sebagai contoh, mungkin untuk mengidentifikasi penyimpanan eksternal perangkat , seperti thumb drive , yang telah terpasang pada sistem . Produk pindah untuk Windows Recycle Bin dapat memberitahu kami ketika mereka dihapus dan dimana akun . Bahkan jika file telah dihapus atau ditimpa , salinan file bisa tetap eksis pada drive dalam berbagai bentuk . Salinan ini sering diabaikan dihasilkan oleh pekerjaan cetak dan fungsi hibernasi serta restore point . File-file ini dapat juga dapat ditemukan di ruang swap , bagian tertentu dari hard drive yang digunakan ketika sistem dari RAM .


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.