Module 1 wsa and wsp roles and responsibilities (presentation)
Presentation wsa yuni
description
Transcript of Presentation wsa yuni
WINDOWS SYSTEM ARTIFACTS
YUNI UTAMI - 4711010014
Pendahuluan
Windows dapat menjadi " jiwa" dari komputer . Kemungkinan besar bahwa
pengujiakan menghadapi sistem operasi Windows kali lebih daripada tidak ketika melakukanpenyelidikan . Kabar baik bagi kita adalah bahwa kita dapat menggunakan Windows
itu sendirisebagai alat untuk memulihkan data dan
melacak jejak yang ditinggalkan oleh pengguna
Dalam perjalanan menggunakan Windows dan banyak yang kompatibelaplikasi , pengguna akan meninggalkan jejak atau artefak yang tersebar di
seluruhmesin . Seperti yang dapat Anda bayangkan , ini cukup berguna dari perspektif
investigasi .Artefak ini sering berada di asing atau " keras
untuk mencapai " tempat . Bahkan individu yang cerdas , bertekad menutupi jejak mereka , dapat
melewatkan beberapa dikuburharta forensik .
DATA DIHAPUSUntuk rata-rata pengguna , menekan tombol delete
memberikan rasa memuaskan keamanan .Dengan klik mouse , kita berpikir data kami selamanya dilenyapkan , tidak pernah lagiuntuk melihat cahaya hari . Pikirkan lagi.Kami tahu fromChapter 2 bahwa ,
bertentangan dengan apa yangbanyak orang percaya , menekan tombol hapus tidak melakukan apa pun untuk
data itu sendiri . itufile tidak pergi ke mana saja . " Menghapus " file hanya memberitahu komputer bahwa ruangdiduduki oleh file tersebut tersedia jika komputer
membutuhkannya . Data yang dihapus akantetap sampai file lain yang ditulis di atas itu . Hal ini
dapat mengambil beberapa waktu, jika dilakukansama sekali.
LEBIH MAJURuang yang tidak terisi pada hard drive dapat berisi
bukti yang berharga . Ekstrak iniData bukanlah tugas yang sederhana. Proses ini
dikenal sebagai ukiran berkas dan dapat dilakukan secara manual
atau dengan bantuan alat . Seperti yang Anda bayangkan , alat dapat sangat mempercepat
proses . File diidentifikasi dalam ruang yang tidak terisi oleh karakteristik unik tertentu .
File header dan footer adalah contoh umum dari karakteristik ini atau tanda tangan .
Header dan footer dapat digunakan untuk mengidentifikasi file serta menandai awal
dan akhir .
Hibernation File ( HIBERFILE.SYS )
Komputer kadang-kadang perlu istirahat dan tidur siang bisa seperti yang kita
lakukan . melaluiini proses " cybernap " , bukti lebih
potensial dapat dihasilkan , tergantung tentang bagaimana "dalam" PC berangkat
tidur . " Jauh tidur " mode seperti hibernasi dan tidur hibrida menyimpan data ke hard drive sebagai lawan hanya memegangnya
di RAM ( seperti "tidur " )
Seperti kita ketahui , data ditulis ke drive itu sendiri
lebih gigih dan dapat dipulihkan . Ada kemungkinan bahwa file yang dihapus oleh
tersangka masih bisa ditemukan di sini . Bagaimana ? Mari kita mengatakan bahwa tersangka bekerja
pada dokumen memberatkan Senin . Dia harus melangkah pergi untuk sementara
untuk membuat panggilan telepon . Dia menempatkan laptop ke mode hibernasi , yang
menyebabkan komputer untuk menyimpan segala sesuatu yang dia lakukan untuk hard drive
Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk
mendapatkan komputerkembali ke operasi secepat mungkin . Microsoft membandingkan
negara iniuntuk " berhenti DVD player " ( Microsoft Corporation; TechTarget ) . Di sini , kecil jumlah daya terus diterapkan pada RAM , menjaga data yang utuh.Ingat , RAM dianggap
memori volatile , yang berarti bahwa data hilangketika kekuasaan akan dihapus . Modus tidur tidak berbuat banyak bagi kami forensik
karenasemua data tetap dalam RAM. Hibernasi adalah juga modus hemat daya
Seperti namanya , tidur hibrida merupakan perpaduan dari dua mode sebelumnya dandimaksudkan terutama untuk desktop . Ini
membuat jumlah minimal daya yang digunakan untuk
RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk . Seperti file halaman , tersangka
bertekad menghancurkan bukti dapat mengabaikan hibernasi ini file . Pedofil atau penjahat korporasi akan sering mencoba untuk menghindari deteksidengan menghapus atau menghancurkan bukti pada hard drive mereka sebagai penyelidikan
menutupdi sekitar mereka .
RegistryWindows Registry memainkan peran penting dalam
pengoperasian PC . Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat
komputer . Dalam konteks itu ,Anda dapat melihat betapa pentingnya registri ke
komputer Windows. Registri melacak pengguna dan sistem konfigurasi dan preferensi ,
yang bukanlah tugas yang sederhana. Dari sudut pandang forensik , dapat memberikan kelimpahan
bukti potensial. Banyak artefak kita mencari disimpan di Registry 67
File registry sistem lab komputer kemudian diperiksa dan tombol USBSTOR
menunjukkan daftar hard drive eksternal yang sama seperti tersangka adalah
dengan pencocokan nomor seri hardware . Hasil ini membuktikan bahwa keras
eksternal tersangkadrive sebenarnya sudah tersambung ke
laptop pada satu waktu
drive eksternal
CETAK spoolingDalam beberapa investigasi , kegiatan pencetakan
tersangka mungkin relevan . Seperti yang Anda mungkinberharap , percetakan juga dapat meninggalkan beberapa
lagu untuk kita ikuti . Anda mungkin telah melihatbahwa ada sedikit penundaan setelah Anda klik Print . Penundaan ini merupakan indikasi dari sebuah prosesdisebut spooling . Pada dasarnya , spooling sementara
menyimpan pekerjaan cetak sampaidapat dicetak pada waktu yang lebih nyaman untuk
printer ( TechTarget ) . selamaprosedur ini spooling , Windows menciptakan sepasang
file komplementer . salah satunya adalahMeta file Ditingkatkan ( EMF ) yang merupakan citra
dokumen yang akan dicetak
RECYCLE BIN" sampah " telah kehadiran akrab di desktop
komputer kita mulai dengan sistem Macintosh awal. Ini adalah ide yang sangat bagus , terutama dari kasual perspektif pengguna. Pengguna mungkin
tidak memahami sektor dan byte , tapi kebanyakan orang
" Mendapat " tempat sampah . Kadang-kadang , meskipun, sampah bisa " mendapatkan " mereka.
Hal ini terutama benar ketika mereka mengandalkan sampah untuk menghapus bukti mereka. Mereka menganggap bahwa data mereka memberatkan
telah menghilang ke digital " Segitiga Bermuda , "tidak pernah lagi melihat cahaya hari
ALERT !File yang tidak diinginkan dapat dipindahkan ke
recycle bin beberapa cara yang berbeda . Mereka bisapindah dari item menu atau dengan menyeret dan
menjatuhkan file ke recycle bin .Akhirnya, Anda bisa klik kanan pada item dan pilih
Delete . Manfaat menempatkanfile ke recycle bin adalah bahwa kita dapat menggali
melalui itu dan tarik file kita kembali .Saya telah bekerja di tempat-tempat menggali melalui
sampah kantor bisa menjadi sangat berbahayamelakukan . Untungnya , hal ini tidak hampir sama
tidak pasti di komputer kita
Tidak semua yang dihapus melewati recycle bin . Seorang pengguna dapat
benar-benarmemotong bin sama sekali . Melewati
dapat dilakukan beberapa cara . Pertama , jika Anda
tekan Shift + Delete , file akan langsung pergi ke ruang yang tidak terisi tanpa
pernah pergimelalui recycle bin .
METADATAMetadata yang paling sering didefinisikan sebagai data tentang data . Odds yang Anda telah datang
di metadata di beberapa titik . Anda mungkin tidak tahu bahwa apa yang Anda melihat . Ada dua rasa
metadata jika Anda akan: aplikasi dan file yangsistem . Ingat , sistem file melacak file dan folder
kita juga karena beberapa informasi tentang mereka . File sistem metadata termasuk tanggal
danwaktu file atau folder telah dibuat , diakses , atau
dimodifikasi
Sistem tanggal dan waktu perangko TIDAK harus diambil hanya pada nilai nominal . inipengaturan yang mudah diakses dan dapat dengan mudah diubah . Menentukan akuratwaktu dapat menjadi lebih rumit jika kasus
tersebut melibatkan lebih dari satu zona waktu . Hanya karena metadata
mengatakan file dibuat pada tanggal tertentu dan waktu tidak
tentu membuatnya begitu .
Metadata dapat membantu peneliti mengidentifikasi semua tersangka dalam kasus
dan memulihkanlebih banyak bukti . Ambil kasus ini dari Houston , Texas mengenai produksi kartu kredit palsu . Para
tersangka dalam kasus ini digunakan " skim " informasi kartu dalam proses produksi kartu
mereka . Kartu kredit " skimming " adalah ketika pencuri
ambil data dari strip magnetik di belakang kartu kredit dan debit . Ini sering terjadi selama transaksi yang sah , seperti ketika Anda
menggunakan kartu Anda untuk membayar untuk makan malam
Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda
disebut thumbnail . Thumbnail hanya miniatur versi rekan-rekan mereka yang lebih besar . Ini
miniatur diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saatmenggunakan Windows Explorer . Windows menciptakan beberapa jenis thumbnail file ,
tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang
sama disebut thumbcache
Windows mencoba untuk membuat hidup kita , setidaknya pada komputer kita , sebagai
menyenangkan sepertimungkin. Mereka mungkin tidak selalu berhasil ,
namun hati mereka di tempat yang tepat .Daftar Paling Baru Digunakan ( MRU ) adalah salah satu contohnya dari Microsoft berpikir
dari kita . The MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file
yang baru saja digunakan . Anda dapat melihat ini dalam tindakan dengan mengklik
tombol Start Windows melalui menu file di banyak aplikasi .
LINK FILESMereka menghemat waktu dan membuat perjalanan
kami lebih mudah , setidaknya dalam teori .Microsoft Windows juga menyukai jalan pintas . Ini
menyukai mereka banyak. Link file hanya jalan pintas. Mereka menunjuk ke file lain . Link file dapat dibuat oleh kami , atau lebih sering oleh komputer .
Anda mungkin telah menciptakan shortcut pada Andadesktop untuk program favorit anda atau folder .
Komputer itu sendiri menciptakan mereka dibeberapa tempat yang berbeda . Anda mungkin telah
melihat dan menggunakan file-file tautan sebelumnya. Mengambil Microsoft Word, misalnya.
Jika Anda melihat di bawah menu File ,
Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika
mereka diciptakan dan terakhir digunakan . Keberadaan link file bisa
menjadi penting . Hal ini dapat digunakan untuk menunjukkan bahwa seseorang
benar-benar membuka file tersebut . Hal ini juga dapat digunakan untuk membantah pernyataan bahwa file atau folder tidak
pernah ada
Kesimpulan Komputer mencatat sejumlah besar informasi tanpa sepengetahuan sebagian besar pengguna . Artefak
ini datang dalam berbagai bentuk dan dapat ditemukan
seluruh sistem . Sebagai contoh, mungkin untuk mengidentifikasi penyimpanan eksternal
perangkat , seperti thumb drive , yang telah terpasang pada sistem . Produk pindah
untuk Windows Recycle Bin dapat memberitahu kami ketika mereka dihapus dan dimana
akun . Bahkan jika file telah dihapus atau ditimpa , salinan file bisa tetap eksis
pada drive dalam berbagai bentuk