Pengertian
Windows Forensic merupakan bagian dari Computer Forensic maupun Digital Forensc yang fokusnya pada sistem operasi Windows. Hal itulah yang menjadi pokok pembahasan utama dalam buku ini. Walau demikian, apa yang dijelaskan pada Windows Forensic ini secara teoritis bisa diterapkan pada sistem operasi lainnya, hanya saja metode dan alat bantu (tools) yang digunakan berbeda.
Hal Dasar Windows Forensic
Sebelum melakukan Windows Forensic, terdapat hal mendasar yang perlu kita ketahui terlebih dahulu supaya mempermudah pemahaman kita dalam melakukan Windows Forensic. Hal yang pertama dan utama adalah data: karena memang hal inilah yang “menjadi target operasi dari sebuah kegiatan Windows Forensic.
Metode Windows Forensic
Salah satu metode yang dulu sering digunakan untuk mengumpulkan informasi pada komputer forensik adalah dengan mematikan komputer dan mencabut harddisk-nya. Padahal, dalam beberapa kasus, informasi yang paling berharga kadang justru ditemukan dalam memori komputer yang artinya hanya bisa diakses ketika komputer dalam kondisi aktif. Belum lagi dalam melakukan proses forensik komputer tersebut harus selalu menyala, seperti sebuah server yang dikenal dengan istilah live analysis.
Kebanyakan informasi yang dikumpulkan ketika komputer atau laptop yang masih hidup adalah informasi yang sifatnya volati, yaitu informasi yang hilang ketika komputer dimatikan. Informasi volatil ini biasanya ada di dalam RAM. Dalam buku ini akan dibahas teknik forensik baik yang live forensic maupun dengan mengambil image sebuah media penyimpanan dan juga memori. Sebab, dengan melakukan live forensic itulah kita dapat mengumpulkan informasi volatil dari sistem yang live. Sehingga kita bisa mendapatkan gambaran keseluruhan mengenai kondisi sistem.
Pengertian Registry
Registri adalah konfigurasi dasar sistem dan sistem yang logis dan unik. Pada dasarnya, registri dibagi menjadi tiga basis data terpisah dan bertanggung jawab untuk mengelola pengguna, sistem, dan konfigurasi jaringan. Bagian ini berisi informasi yang sangat penting. Untuk membatalkan pendaftaran, Anda harus terlebih dahulu mengetahui struktur sebagai jendela. Registry terdiri dari tujuh kunci root:
- HKEY_CLASSES_ROOT
- HKEY_CURRENT_USER
- HKEY_LOCAL_MACHINE
- HKEY_USERS
- HKEY_CURRENT_CONFIG
- HKEY_DYN_DATA
- HKEY_PERFORMANCE_DATA
Ketujuh kunci diatas menyimpan berbagai macam informasi (sesuai fungsi kunci), dimana informasi ini akan digunakan dalam tahap forensic.
Tools Pemeriksaan Registry
Saat ini, ada banyak tools yang tersedia untuk pemeriksa forensik untuk mengekstraksi bukti dari Registry. Tools yang digunakan dalam dokumen ini untuk menganalisis dan menavigasi registri adalah Editor Registri (regedit.exe). Editor Registri gratis dan tersedia di semua instalasi Microsoft Windows XP dengan hak administrator.
Registry Sebagai LOG
Semua kunci registri memiliki nilai terkait, disebut waktu “LastWrite“, yang sangat mirip dengan waktu file terakhir diubah. Nilai ini disimpan sebagai struktur FILETIME dan menunjukkan terakhir kali kunci registri dimodifikasi. Mengacu pada Pangkalan Pengetahuan Microsoft, struktur FILETIME mewakili sejumlah 100 nanodetik interval sejak 1 Januari 1601. Waktu LastWrite diperbarui ketika Anda membuat, memodifikasi, mengakses, atau menghapus kunci registri. Sayangnya, hanya waktu kunci registri LastWrite yang dapat diperoleh, sedangkan waktu LastWrite untuk nilai registri tidak dapat diperoleh.
Mengetahui waktu terakhir LastWrite dapat memungkinkan analis forensik untuk mengurangi perkiraan tanggal atau waktu acara. Meskipun orang mungkin tahu kapan kunci registri terakhir diubah, masih sulit untuk menentukan nilai yang telah diubah. Menggunakan Registri adalah catatan yang sangat berguna untuk mengaitkan waktu antara kunci registri LastWrite dan sumber informasi lainnya, seperti MAC (dimodifikasi, diakses, atau dibuat) kali dalam sistem file.
Sumber :
- Buku: Belajar Otodidak Windows Forensic
- Makalah: Analisis Registry – Makalah Digital Forensik