Dasar Digital Forensik [2] Membaca ...

Dasar Digital Forensik [2] Membaca Prefetch Sebagai Jejak yang Di tinggalkan


Sebenarnya agak males nerusin artikel yang berurusan dengan maho hacking
dan ini adalah artikel lanjutan dari Dasar Digital Forensik [1] Menggunakan Volatility
makanya karena nanggung,bisa di bilang ini step selanjutnya ya,dan akan ada step-step terusannya
jadinya sekalian mumpung ada studi kasus
lagi-lagi windows -__- insya Allah kita akan coba linux selanjutnya ya.

Prefetch System

Apa itu prefetch system pada windows?
file prefetch pada windows adalah sebuah space yang berisi tentnag metadata
yang di gunakan,isinya mencakup tentang informasi seperti tanggal terakhir aplikasi itu di pakai
tersimpan dimana,dan berapa kali aplikasi itu di "klik-klik" dan informasi lainnya.

Lagi-lagi artikel ini adalah 1 diantara langkah SOP seorang forensik investigator
karena bisa jadi bukti valid si tersangka ini ngapain aja
termasuk cari tau jejak browsingnya,yang terpenting ketikkan di applikasi chat (kalau dulu YM)
sekalipun itu di hapus.

Prefetch di sistem operasi windows udah ada sejak windows xp dan win server 2003
kalau di win vista,7,8,10 itu udah default,tapi...kalau di windows server
baik itu win server 2003/2008 dan 2012 kudu di aktifin manual di registry
jadii....setelah meng-aktifkan itu,jangan lupa limitasi privileges user di windows ya..
letak prefetch ini ada di C:\Windows\Prefetch



Lihat kan,banyak file di sana,kita lihat aja file yang berakhiran .pf
ada chrome,ada creative cloud dan ada DRVINST.EXE which is terakhir di gunakannya kemarin sabtu jam 8 malam
nah drvinst.exe ini biasanya bluetooth,jadi komputer ini di pake konek ke perangkat lain melalui Bluetooth
atau di hack pake bluetooth (who knows).

Cukup mudah ya,terus gimana? kita harus bisa mengurai file-file ini
buat di korek lagi,dan kita butuh tools lagi,yang bisa parsing file yang kita inginkan untuk di analisa
ada beberapa tools/software seperti EnCase,FTK dan Oxygen yang juga di pake banyak tukang forensik komputer
tapi di sini gue pake nirsoft,download aja di nirsoft.net/utils/win_prefetch_view.html
gue make yang 64bit,download dan install ya
setelah itu pilih yang mau di parsing di folder prefetch

Di sini gue milih drvinst.exe tadi ya,yang udah pernah pair dengan bluetooth
di situ lebih jelas lagi,sejak kapan dan udah berapa kali di running
dan path nya dari mana aja juga ketauan,bahkan coba liat yang di garis oren
ada time stamp nya.



Biasanya,kalau si maho hacker udah pengalaman dia bisa aja disable prefetch
bahkan dia stop / superfetch sekalian,yang fiturnya udah ada sejak win vista
yang metodenya kayak preload aplikasi which is patternya bisa di sesuaikan
dengan pemilik / pengguna sah komputer ini

nah,biasanya si attacker bakal disable superfetch dengan cara melalui command prompt

sc stop "SysMain" & sc config "SysMain" start=disabled

kalau sampai di cari di computer management prefetch udah disable,tinggal kebalikannya aja

sc stop "SysMain" & sc config "SysMain" start=enabled

Karena prefetch ini cukup vital buat forensik,jadi jangan sampai di lewatkan ya tahap ini
oke,demikian artikel singkat ini,semoga bermanfaat
terima kasih sudah mampir di minggu sore yang indah ini
Happy Weekend

Dan silahkan kunjungi artikel selanjutnya Dasar Digital Forensik [3] Forensik jaringan menggunakan wireshark


Right menu
Tag Cloud