Armin
Armin
Full Stack Developer System Administrator SEO Specialist Content Writer
Armin

Blog

Dasar Digital Forensik [2] Membaca Prefetch Sebagai Jejak yang Di tinggalkan

Dasar Digital Forensik [2] Membaca Prefetch Sebagai Jejak yang Di tinggalkan

Sebenarnya agak males nerusin artikel yang berurusan dengan maho hacking
dan ini adalah artikel lanjutan dari Dasar Digital Forensik [1] Menggunakan Volatility
makanya karena nanggung,bisa di bilang ini step selanjutnya ya,dan akan ada step-step terusannya
jadinya sekalian mumpung ada studi kasus
lagi-lagi windows -__- insya Allah kita akan coba linux selanjutnya ya.

Prefetch System

Apa itu prefetch system pada windows?
file prefetch pada windows adalah sebuah space yang berisi tentnag metadata
yang di gunakan,isinya mencakup tentang informasi seperti tanggal terakhir aplikasi itu di pakai
tersimpan dimana,dan berapa kali aplikasi itu di "klik-klik" dan informasi lainnya.

Lagi-lagi artikel ini adalah 1 diantara langkah SOP seorang forensik investigator
karena bisa jadi bukti valid si tersangka ini ngapain aja
termasuk cari tau jejak browsingnya,yang terpenting ketikkan di applikasi chat (kalau dulu YM)
sekalipun itu di hapus.

Prefetch di sistem operasi windows udah ada sejak windows xp dan win server 2003
kalau di win vista,7,8,10 itu udah default,tapi...kalau di windows server
baik itu win server 2003/2008 dan 2012 kudu di aktifin manual di registry
jadii....setelah meng-aktifkan itu,jangan lupa limitasi privileges user di windows ya..
letak prefetch ini ada di C:\Windows\Prefetch

Biasanya,kalau si maho hacker udah pengalaman dia bisa aja disable prefetch
bahkan dia stop / superfetch sekalian,yang fiturnya udah ada sejak win vista
yang metodenya kayak preload aplikasi which is patternya bisa di sesuaikan
dengan pemilik / pengguna sah komputer ini

nah,biasanya si attacker bakal disable superfetch dengan cara melalui command prompt

sc stop "SysMain" & sc config "SysMain" start=disabled

kalau sampai di cari di computer management prefetch udah disable,tinggal kebalikannya aja

sc stop "SysMain" & sc config "SysMain" start=enabled

Karena prefetch ini cukup vital buat forensik,jadi jangan sampai di lewatkan ya tahap ini
oke,demikian artikel singkat ini,semoga bermanfaat
terima kasih sudah mampir di minggu sore yang indah ini
Happy Weekend

Dan silahkan kunjungi artikel selanjutnya Dasar Digital Forensik [3] Forensik jaringan menggunakan wireshark

Add Comment