Tools Digital Forensik

Hari ini saya lagi baca-baca tentang digital forensik. Digital forensik ini proses mempelajari artefak, biasanya untuk mencari barang bukti dalam sebuah penyidikan. Digital Forensik ini toolsnya banyak banget, berikut ini beberapa tools yang bisa dipake untuk digital forensik:

Free Hex Editor Neo: tools untuk binary file editor, biasanya dipake untuk mempelajari kode dari sebuah program 

Helix Forensichttp://www.e-fense.com  tools forensik bisa dipake untuk berbagai sistem operasi, bisa untuk mempelajari aktifitas internet, forensik jaringan, RAM, proses yang sedang berjalan dll. Tools ini keren, tapi berbayar. Ada versi trial 30 hari

COFEE: Computer Online Forensics Evidence Extractor : tools dari microsoft untuk membantu penyidik forensik mengekstrak evidence dari komputer windows. Tools ini dapat diinstal di flash drive USB untuk melakukan analisa forensik live. Khusus untuk polisi dan penegak hukum, microsoft memberikan tools ini gratis. Untuk rikues tools ini bisa dilihat di https://www.nw3c.org/investigative-resources

FieldSearch: tools forensik untuk mempelajari browser history, cari text, cari gambar, bikin report, chat history, registry, cari hash, recycle bin dll

Deftlinux : distro linux untuk forensik, ada banyak tools, tapi kayaknya udah discontinu

Registry viewer: tools untuk melihat isi register

FTK Imager

WinHex 

MobilEdit

Mobile Image Pro

Forensic Explorer 

Beberapa teknik forensik di Windows

  1. cek versi OS: SOFTWARE\Microsoft\Windows NT\CurrentVersion
  2. disana bisa dapet juga tanggal instalasi dalam bentuk hexa. Untuk decodenya bisa pake tools time Lord dari Paul Tew.
  3. cek Password:      

HKCU\Software\Microsoft\Internet Explorer\IntelliForms\SPW ; HKCU\Software\Microsoft\Protected Storage System Provider

4. terus pake tools Pass recovery dari Nirsoft

5. Untuk cek program yang berjalan pas Startup

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

6. Untuk melihat recent files, alias file yang baru dibuka

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

MRU (Most recent Use)

CIDSizeMRU

(aplikasi-aplikasi terakhir/terkini yang digunakan),

FirstFolder (folder-folder terakhir/terkini yang dibuka)

LastVisitedPidMRU (file-file terakhir/terkini yang diakses oleh aplikasi tertentu)

OpenSavePidMRU (berisikan file-file terkahir/terkini yang dibuka dan disimpan/save)

7. Ngeliat Last shutdown (waktu terakhir kali komputer dimatikan) dan time zone Registry di registry keys: SYSTEM\ControlSet001\Control\Windows\ShutdownTime

8. Ngeliat USB yang baru terhubung

SYSTEM\ControlSet001\Enum\USBSTOR

9. Ngeliat User yang ada

SAM\SAM\Domains\Account\Users

SAM\SAM\Domains\Account\Users\{RID}

10. Ngeliat last login

setup*.log, setup*.old, setuplog.txt dan winnt32.log

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\

 

Beberapa tools Forensik yang bisa dipake buat linux, ada yg opensource juga: 

Silahkan tuliskan tanggapan, kritik maupun saran