Hari ini saya lagi baca-baca tentang digital forensik. Digital forensik ini proses mempelajari artefak, biasanya untuk mencari barang bukti dalam sebuah penyidikan. Digital Forensik ini toolsnya banyak banget, berikut ini beberapa tools yang bisa dipake untuk digital forensik:
Free Hex Editor Neo: tools untuk binary file editor, biasanya dipake untuk mempelajari kode dari sebuah program
Helix Forensic: http://www.e-fense.com tools forensik bisa dipake untuk berbagai sistem operasi, bisa untuk mempelajari aktifitas internet, forensik jaringan, RAM, proses yang sedang berjalan dll. Tools ini keren, tapi berbayar. Ada versi trial 30 hari
COFEE: Computer Online Forensics Evidence Extractor : tools dari microsoft untuk membantu penyidik forensik mengekstrak evidence dari komputer windows. Tools ini dapat diinstal di flash drive USB untuk melakukan analisa forensik live. Khusus untuk polisi dan penegak hukum, microsoft memberikan tools ini gratis. Untuk rikues tools ini bisa dilihat di https://www.nw3c.org/investigative-resources
FieldSearch: tools forensik untuk mempelajari browser history, cari text, cari gambar, bikin report, chat history, registry, cari hash, recycle bin dll
Deftlinux : distro linux untuk forensik, ada banyak tools, tapi kayaknya udah discontinu
Registry viewer: tools untuk melihat isi register
Beberapa teknik forensik di Windows
- cek versi OS: SOFTWARE\Microsoft\Windows NT\CurrentVersion
- disana bisa dapet juga tanggal instalasi dalam bentuk hexa. Untuk decodenya bisa pake tools time Lord dari Paul Tew.
- cek Password:
HKCU\Software\Microsoft\Internet Explorer\IntelliForms\SPW ; HKCU\Software\Microsoft\Protected Storage System Provider
4. terus pake tools Pass recovery dari Nirsoft
5. Untuk cek program yang berjalan pas Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
6. Untuk melihat recent files, alias file yang baru dibuka
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32
MRU (Most recent Use)
CIDSizeMRU
(aplikasi-aplikasi terakhir/terkini yang digunakan),
FirstFolder (folder-folder terakhir/terkini yang dibuka)
LastVisitedPidMRU (file-file terakhir/terkini yang diakses oleh aplikasi tertentu)
OpenSavePidMRU (berisikan file-file terkahir/terkini yang dibuka dan disimpan/save)
7. Ngeliat Last shutdown (waktu terakhir kali komputer dimatikan) dan time zone Registry di registry keys: SYSTEM\ControlSet001\Control\Windows\ShutdownTime
8. Ngeliat USB yang baru terhubung
SYSTEM\ControlSet001\Enum\USBSTOR
9. Ngeliat User yang ada
SAM\SAM\Domains\Account\Users
SAM\SAM\Domains\Account\Users\{RID}
10. Ngeliat last login
setup*.log, setup*.old, setuplog.txt dan winnt32.log
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\
Beberapa tools Forensik yang bisa dipake buat linux, ada yg opensource juga:
Referensi lainnya:
https://github.com/Cugu/awesome-forensics#learn-forensics
Repository artifak
https://github.com/ForensicArtifacts/artifacts
Semoga Bermanfaat!