WINDOWS SYSTEM ARTIFACTS

YUNI UTAMI - 4711010014

Pendahuluan

Windows dapat menjadi " jiwa" dari komputer . Kemungkinan besar bahwa

pengujiakan menghadapi sistem operasi Windows kali lebih daripada tidak ketika melakukanpenyelidikan . Kabar baik bagi kita adalah bahwa kita dapat menggunakan Windows

itu sendirisebagai alat untuk memulihkan data dan

melacak jejak yang ditinggalkan oleh pengguna

Dalam perjalanan menggunakan Windows dan banyak yang kompatibelaplikasi , pengguna akan meninggalkan jejak atau artefak yang tersebar di

seluruhmesin . Seperti yang dapat Anda bayangkan , ini cukup berguna dari perspektif

investigasi .Artefak ini sering berada di asing atau " keras

untuk mencapai " tempat . Bahkan individu yang cerdas , bertekad menutupi jejak mereka , dapat

melewatkan beberapa dikuburharta forensik .

DATA DIHAPUSUntuk rata-rata pengguna , menekan tombol delete

memberikan rasa memuaskan keamanan .Dengan klik mouse , kita berpikir data kami selamanya dilenyapkan , tidak pernah lagiuntuk melihat cahaya hari . Pikirkan lagi.Kami tahu fromChapter 2 bahwa ,

bertentangan dengan apa yangbanyak orang percaya , menekan tombol hapus tidak melakukan apa pun untuk

data itu sendiri . itufile tidak pergi ke mana saja . " Menghapus " file hanya memberitahu komputer bahwa ruangdiduduki oleh file tersebut tersedia jika komputer

membutuhkannya . Data yang dihapus akantetap sampai file lain yang ditulis di atas itu . Hal ini

dapat mengambil beberapa waktu, jika dilakukansama sekali.

LEBIH MAJURuang yang tidak terisi pada hard drive dapat berisi

bukti yang berharga . Ekstrak iniData bukanlah tugas yang sederhana. Proses ini

dikenal sebagai ukiran berkas dan dapat dilakukan secara manual

atau dengan bantuan alat . Seperti yang Anda bayangkan , alat dapat sangat mempercepat

proses . File diidentifikasi dalam ruang yang tidak terisi oleh karakteristik unik tertentu .

File header dan footer adalah contoh umum dari karakteristik ini atau tanda tangan .

Header dan footer dapat digunakan untuk mengidentifikasi file serta menandai awal

dan akhir .

Hibernation File ( HIBERFILE.SYS )

Komputer kadang-kadang perlu istirahat dan tidur siang bisa seperti yang kita

lakukan . melaluiini proses " cybernap " , bukti lebih

potensial dapat dihasilkan , tergantung tentang bagaimana "dalam" PC berangkat

tidur . " Jauh tidur " mode seperti hibernasi dan tidur hibrida menyimpan data ke hard drive sebagai lawan hanya memegangnya

di RAM ( seperti "tidur " )

Seperti kita ketahui , data ditulis ke drive itu sendiri

lebih gigih dan dapat dipulihkan . Ada kemungkinan bahwa file yang dihapus oleh

tersangka masih bisa ditemukan di sini . Bagaimana ? Mari kita mengatakan bahwa tersangka bekerja

pada dokumen memberatkan Senin . Dia harus melangkah pergi untuk sementara

untuk membuat panggilan telepon . Dia menempatkan laptop ke mode hibernasi , yang

menyebabkan komputer untuk menyimpan segala sesuatu yang dia lakukan untuk hard drive

Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk

mendapatkan komputerkembali ke operasi secepat mungkin . Microsoft membandingkan

negara iniuntuk " berhenti DVD player " ( Microsoft Corporation; TechTarget ) . Di sini , kecil jumlah daya terus diterapkan pada RAM , menjaga data yang utuh.Ingat , RAM dianggap

memori volatile , yang berarti bahwa data hilangketika kekuasaan akan dihapus . Modus tidur tidak berbuat banyak bagi kami forensik

karenasemua data tetap dalam RAM. Hibernasi adalah juga modus hemat daya

Seperti namanya , tidur hibrida merupakan perpaduan dari dua mode sebelumnya dandimaksudkan terutama untuk desktop . Ini

membuat jumlah minimal daya yang digunakan untuk

RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk . Seperti file halaman , tersangka

bertekad menghancurkan bukti dapat mengabaikan hibernasi ini file . Pedofil atau penjahat korporasi akan sering mencoba untuk menghindari deteksidengan menghapus atau menghancurkan bukti pada hard drive mereka sebagai penyelidikan

menutupdi sekitar mereka .

RegistryWindows Registry memainkan peran penting dalam

pengoperasian PC . Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat

komputer . Dalam konteks itu ,Anda dapat melihat betapa pentingnya registri ke

komputer Windows. Registri melacak pengguna dan sistem konfigurasi dan preferensi ,

yang bukanlah tugas yang sederhana. Dari sudut pandang forensik , dapat memberikan kelimpahan

bukti potensial. Banyak artefak kita mencari disimpan di Registry 67

File registry sistem lab komputer kemudian diperiksa dan tombol USBSTOR

menunjukkan daftar hard drive eksternal yang sama seperti tersangka adalah

dengan pencocokan nomor seri hardware . Hasil ini membuktikan bahwa keras

eksternal tersangkadrive sebenarnya sudah tersambung ke

laptop pada satu waktu

drive eksternal

CETAK spoolingDalam beberapa investigasi , kegiatan pencetakan

tersangka mungkin relevan . Seperti yang Anda mungkinberharap , percetakan juga dapat meninggalkan beberapa

lagu untuk kita ikuti . Anda mungkin telah melihatbahwa ada sedikit penundaan setelah Anda klik Print . Penundaan ini merupakan indikasi dari sebuah prosesdisebut spooling . Pada dasarnya , spooling sementara

menyimpan pekerjaan cetak sampaidapat dicetak pada waktu yang lebih nyaman untuk

printer ( TechTarget ) . selamaprosedur ini spooling , Windows menciptakan sepasang

file komplementer . salah satunya adalahMeta file Ditingkatkan ( EMF ) yang merupakan citra

dokumen yang akan dicetak

RECYCLE BIN" sampah " telah kehadiran akrab di desktop

komputer kita mulai dengan sistem Macintosh awal. Ini adalah ide yang sangat bagus , terutama dari kasual perspektif pengguna. Pengguna mungkin

tidak memahami sektor dan byte , tapi kebanyakan orang

" Mendapat " tempat sampah . Kadang-kadang , meskipun, sampah bisa " mendapatkan " mereka.

Hal ini terutama benar ketika mereka mengandalkan sampah untuk menghapus bukti mereka. Mereka menganggap bahwa data mereka memberatkan

telah menghilang ke digital " Segitiga Bermuda , "tidak pernah lagi melihat cahaya hari

ALERT !File yang tidak diinginkan dapat dipindahkan ke

recycle bin beberapa cara yang berbeda . Mereka bisapindah dari item menu atau dengan menyeret dan

menjatuhkan file ke recycle bin .Akhirnya, Anda bisa klik kanan pada item dan pilih

Delete . Manfaat menempatkanfile ke recycle bin adalah bahwa kita dapat menggali

melalui itu dan tarik file kita kembali .Saya telah bekerja di tempat-tempat menggali melalui

sampah kantor bisa menjadi sangat berbahayamelakukan . Untungnya , hal ini tidak hampir sama

tidak pasti di komputer kita

Tidak semua yang dihapus melewati recycle bin . Seorang pengguna dapat

benar-benarmemotong bin sama sekali . Melewati

dapat dilakukan beberapa cara . Pertama , jika Anda

tekan Shift + Delete , file akan langsung pergi ke ruang yang tidak terisi tanpa

pernah pergimelalui recycle bin .

METADATAMetadata yang paling sering didefinisikan sebagai data tentang data . Odds yang Anda telah datang

di metadata di beberapa titik . Anda mungkin tidak tahu bahwa apa yang Anda melihat . Ada dua rasa

metadata jika Anda akan: aplikasi dan file yangsistem . Ingat , sistem file melacak file dan folder

kita juga karena beberapa informasi tentang mereka . File sistem metadata termasuk tanggal

danwaktu file atau folder telah dibuat , diakses , atau

dimodifikasi

Sistem tanggal dan waktu perangko TIDAK harus diambil hanya pada nilai nominal . inipengaturan yang mudah diakses dan dapat dengan mudah diubah . Menentukan akuratwaktu dapat menjadi lebih rumit jika kasus

tersebut melibatkan lebih dari satu zona waktu . Hanya karena metadata

mengatakan file dibuat pada tanggal tertentu dan waktu tidak

tentu membuatnya begitu .

Metadata dapat membantu peneliti mengidentifikasi semua tersangka dalam kasus

dan memulihkanlebih banyak bukti . Ambil kasus ini dari Houston , Texas mengenai produksi kartu kredit palsu . Para

tersangka dalam kasus ini digunakan " skim " informasi kartu dalam proses produksi kartu

mereka . Kartu kredit " skimming " adalah ketika pencuri

ambil data dari strip magnetik di belakang kartu kredit dan debit . Ini sering terjadi selama transaksi yang sah , seperti ketika Anda

menggunakan kartu Anda untuk membayar untuk makan malam

Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda

disebut thumbnail . Thumbnail hanya miniatur versi rekan-rekan mereka yang lebih besar . Ini

miniatur diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saatmenggunakan Windows Explorer . Windows menciptakan beberapa jenis thumbnail file ,

tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang

sama disebut thumbcache

Windows mencoba untuk membuat hidup kita , setidaknya pada komputer kita , sebagai

menyenangkan sepertimungkin. Mereka mungkin tidak selalu berhasil ,

namun hati mereka di tempat yang tepat .Daftar Paling Baru Digunakan ( MRU ) adalah salah satu contohnya dari Microsoft berpikir

dari kita . The MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file

yang baru saja digunakan . Anda dapat melihat ini dalam tindakan dengan mengklik

tombol Start Windows melalui menu file di banyak aplikasi .

LINK FILESMereka menghemat waktu dan membuat perjalanan

kami lebih mudah , setidaknya dalam teori .Microsoft Windows juga menyukai jalan pintas . Ini

menyukai mereka banyak. Link file hanya jalan pintas. Mereka menunjuk ke file lain . Link file dapat dibuat oleh kami , atau lebih sering oleh komputer .

Anda mungkin telah menciptakan shortcut pada Andadesktop untuk program favorit anda atau folder .

Komputer itu sendiri menciptakan mereka dibeberapa tempat yang berbeda . Anda mungkin telah

melihat dan menggunakan file-file tautan sebelumnya. Mengambil Microsoft Word, misalnya.

Jika Anda melihat di bawah menu File ,

Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika

mereka diciptakan dan terakhir digunakan . Keberadaan link file bisa

menjadi penting . Hal ini dapat digunakan untuk menunjukkan bahwa seseorang

benar-benar membuka file tersebut . Hal ini juga dapat digunakan untuk membantah pernyataan bahwa file atau folder tidak

pernah ada

Kesimpulan Komputer mencatat sejumlah besar informasi tanpa sepengetahuan sebagian besar pengguna . Artefak

ini datang dalam berbagai bentuk dan dapat ditemukan

seluruh sistem . Sebagai contoh, mungkin untuk mengidentifikasi penyimpanan eksternal

perangkat , seperti thumb drive , yang telah terpasang pada sistem . Produk pindah

untuk Windows Recycle Bin dapat memberitahu kami ketika mereka dihapus dan dimana

akun . Bahkan jika file telah dihapus atau ditimpa , salinan file bisa tetap eksis

pada drive dalam berbagai bentuk