Forensik Digital

Pertemuan 05

Forensik Windows I — Volatile Data dan Artefak Sistem

Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS

🎯 Capaian Pembelajaran

Setelah pertemuan ini, mahasiswa mampu:

  1. Menjelaskan order of volatility dan prioritas pengumpulan bukti
  2. Menganalisis memory dump menggunakan Volatility 3
  3. Mengekstrak dan menganalisis Windows Event Logs
  4. Menganalisis Prefetch files dan SuperFetch
  5. Mengidentifikasi Jump Lists, Recent Documents, dan LNK files
  6. Mengekstrak dan menganalisis browser artifacts
  7. Melakukan analisis Recycle Bin, Thumbnail Cache, dan Windows Timeline

📋 Agenda Hari Ini

Bagian 1

  • Order of Volatility
  • Live vs Dead Forensics
  • Memory Forensics
  • Volatility 3 Framework

Bagian 2

  • Windows Event Logs
  • Prefetch & SuperFetch
  • Jump Lists & LNK Files
  • Browser, Recycle Bin, Timeline

⏱️ Order of Volatility

Order of Volatility adalah urutan prioritas pengumpulan bukti digital berdasarkan tingkat kemudahan data hilang atau berubah. Didefinisikan dalam RFC 3227.

Prinsip utama:

  • Kumpulkan data paling volatile terlebih dahulu
  • Data di RAM hilang dalam hitungan detik saat power off
  • Data di disk bertahan hingga di-overwrite

⏱️ Piramida Volatilitas

Urutan Sumber Data Volatilitas Persistensi
1 CPU Register & Cache Sangat Tinggi Nanoseconds
2 RAM / Memory Tinggi Hilang saat power off
3 Network State Tinggi Real-time
4 Running Processes Tinggi Hilang saat power off
5 Disk (Temporary) Sedang Dapat di-overwrite
6–8 Disk / Logs / Backup Rendah Persisten

💡 Kumpulkan bukti dari yang paling volatile terlebih dahulu!

🔄 Live vs Dead Forensics

Aspek Live Forensics Dead Forensics
Kondisi Sistem masih berjalan Sistem sudah dimatikan
Volatile Data Dapat diakses ✅ Hilang permanen ❌
Risiko Mengubah state sistem Kehilangan volatile data
Konteks Militer Sistem C2 aktif Workstation sitaan

🎖️ Sistem C2 militer sering tidak boleh dimatikan — live forensics wajib!

🧠 Memory Forensics

Memory Forensics adalah teknik investigasi yang menganalisis konten RAM untuk mengekstrak bukti digital yang hanya tersedia saat sistem berjalan.

Mengapa penting?

  • Fileless malware hanya beroperasi di memori
  • Encryption keys tersimpan di RAM saat drive terbuka
  • Serangan APT canggih menghindari jejak di disk

🧠 Apa yang Tersimpan di RAM?

Kategori Contoh Data Nilai Forensik
Proses PID, parent process Identifikasi malware
Koneksi Jaringan IP tujuan, port, status Deteksi C2 communication
Loaded Modules DLL, kernel modules Deteksi rootkit, injected code
Encryption Keys BitLocker, passwords Membuka data terenkripsi
Command History CMD, PowerShell Rekonstruksi aktivitas penyerang

🧠 Tools Akuisisi Memori

Tool Platform Format Keterangan
Belkasoft RAM Capturer Windows .mem Gratis, GUI sederhana
DumpIt Windows .raw Gratis, CLI, sangat ringan
WinPmem Windows .raw, .aff4 Open source (Rekall)
FTK Imager Windows .mem Memory capture terintegrasi

💡 DumpIt ideal untuk first responder — cukup double-click!

🔬 Volatility 3 Framework

Volatility 3 — Framework open-source Python 3 untuk analisis memory forensics dengan auto-detection profil OS.

Keunggulan

  • Python 3 (aktif)
  • Auto-detect OS profile
  • Support Windows 10/11
  • Arsitektur modular

vs Volatility 2

  • Python 2 (deprecated)
  • Profile manual
  • Terbatas Win10 awal
  • Monolitik

🔬 Plugin Volatility 3 Penting

Plugin Fungsi Penggunaan
windows.pslist Daftar proses berjalan Identifikasi proses mencurigakan
windows.pstree Hierarki parent-child Deteksi parent anomali
windows.netscan Koneksi jaringan Deteksi koneksi ke C2
windows.malfind Injected code Identifikasi fileless malware
windows.cmdline Command line args Rekonstruksi perintah
windows.hashdump Password hashes Ekstraksi kredensial

🔬 Contoh Perintah Volatility 3

# Daftar proses
python vol.py -f memory.dmp windows.pslist

# Hierarki proses (parent-child)
python vol.py -f memory.dmp windows.pstree

# Koneksi jaringan aktif
python vol.py -f memory.dmp windows.netscan

# Deteksi malware injection
python vol.py -f memory.dmp windows.malfind

# Command line arguments per proses
python vol.py -f memory.dmp windows.cmdline

# Dump password hashes
python vol.py -f memory.dmp windows.hashdump

🔍 Deteksi Anomali Proses

Hierarki proses NORMAL Windows:

System → smss.exe → wininit.exe → services.exe → svchost.exe
System → smss.exe → csrss.exe
                        → winlogon.exe → explorer.exe
⚠️ Red Flags:
  • svchost.exe dengan parent bukan services.exe
  • csrss.exe berjalan dari lokasi bukan System32
  • Proses sistem dengan koneksi jaringan keluar yang tidak biasa
  • Jumlah instance proses sistem yang abnormal

🛡️ DKOM — Menyembunyikan Proses

DKOM (Direct Kernel Object Manipulation) — teknik rootkit yang memanipulasi linked list kernel untuk menyembunyikan proses.
pslist
Menelusuri linked list EPROCESS
❌ Proses tersembunyi tidak terlihat
psscan
Scan pola di seluruh memori
✅ Menemukan proses tersembunyi

💡 Bandingkan output pslist vs psscan — perbedaan = proses tersembunyi!

📋 Windows Event Logs

Windows Event Logs — mekanisme pencatatan aktivitas sistem, keamanan, dan aplikasi secara otomatis. Salah satu sumber bukti forensik paling berharga.

Lokasi:

C:\Windows\System32\winevt\Logs\

Format: EVTX (sejak Windows Vista)

📋 Jenis Event Log Utama

Log Fungsi Contoh Event
Security Audit keamanan: login, akses, policy 4624 (logon), 4625 (failed)
System Aktivitas sistem: service, driver 7045 (service installed)
Application Aktivitas aplikasi: error, info App crash, update events
PowerShell Eksekusi script PowerShell 4104 (script block logging)
Sysmon Monitoring proses & jaringan 1 (process create), 3 (network)

📋 Event ID Kritis untuk Investigasi

Event ID Log Deskripsi Relevansi
4624 Security Successful Logon Identifikasi akses & lateral movement
4625 Security Failed Logon Deteksi brute force
4672 Security Special Privileges Eskalasi hak akses
4720 Security User Account Created Pembuatan akun backdoor
7045 System New Service Installed Service backdoor
1102 Security Audit Log Cleared Anti-forensik!

📋 Skenario: Deteksi Intrusi

Temuan di workstation pangkalan militer:

Event ID 1102 — Security log cleared
⚠️ Anti-forensik: penyerang menghapus jejak
Event ID 4720 — User account created: admin$
⚠️ Persistence: hidden account (suffix $ = tidak terlihat di daftar user)
Kesimpulan: Intrusi aktif — penyerang menghapus log, lalu membuat backdoor account tersembunyi. Incident response segera!

📋 Tools Analisis Event Log

Tool Pengembang Kelebihan
FullEventLogView NirSoft Gratis, GUI intuitif, filter powerful
EvtxECmd Eric Zimmerman CLI, output CSV untuk analisis massal
Event Log Explorer FSPro Labs GUI profesional, timeline view
Windows Event Viewer Microsoft Built-in di semua Windows

⚡ Prefetch Files

Prefetch — mekanisme Windows yang merekam informasi tentang program yang dijalankan. Artefak forensik berharga untuk riwayat eksekusi program.

Lokasi: C:\Windows\Prefetch\

Format: [NAMA_PROGRAM]-[HASH].pf

Contoh: MIMIKATZ.EXE-A234B567.pf → Bukti tool credential dumping dijalankan!

⚡ Informasi dalam Prefetch

Data Deskripsi Nilai Forensik
Nama executable Program yang dijalankan Identifikasi program
Run count Jumlah eksekusi Frekuensi penggunaan
Timestamps Waktu eksekusi (8 di Win10) Timeline aktivitas
Referenced files File/folder yang diakses Konteks penggunaan
Volume info Volume saat eksekusi Identifikasi media eksternal

⚠️ Win 10/11: hingga 1024 file prefetch & 8 timestamps per file

📑 Jump Lists

Jump Lists — fitur Windows (sejak Win 7) yang menyimpan daftar file, folder, dan task yang baru digunakan untuk setiap aplikasi.
Automatic
Dibuat otomatis saat file dibuka
AutomaticDestinations\
Custom
Dibuat oleh aplikasi (pinned items)
CustomDestinations\

💡 Jump Lists menyimpan path file bahkan setelah file asli dihapus!

🔗 LNK Files (Shortcut)

Windows otomatis membuat LNK file saat pengguna membuka dokumen.

Data dalam LNK Contoh Nilai Forensik
Target path E:\Classified\doc.xlsx File yang diakses
Timestamps Created, Modified, Accessed Timeline penggunaan
Volume serial A1B2-C3D4 Identifikasi USB drive
Machine ID SRV-KODAM-05 Komputer asal file
Network path \\192.168.10.50\Share Akses jaringan

🔗 Skenario: Akses File Rahasia

Analisis LNK file menunjukkan:

Target Path  : \\192.168.10.50\CLASSIFIED\intel_brief_q4.xlsx
Accessed     : 2026-01-12 23:45:00  ← Di luar jam kerja!
Machine ID   : SRV-KODAM-05
Volume Serial: A1B2-C3D4
Temuan Kritis:
  • File intelijen di folder CLASSIFIED diakses via network share
  • Akses pukul 23:45 — di luar jam kerja
  • Server sumber teridentifikasi: SRV-KODAM-05

🛠️ Eric Zimmerman Tools

Paket tool forensik gratis yang sangat populer:

Tool Fungsi
PECmd Parsing Prefetch files
JLECmd Parsing Jump Lists
LECmd Parsing LNK files
EvtxECmd Parsing Event Logs
WxTCmd Parsing Windows Timeline

🔗 Download: ericzimmerman.github.io

🌐 Browser Artifacts

Browser Forensics — analisis artefak web browser untuk merekonstruksi aktivitas browsing. Browser merekam hampir semua aktivitas online.
Chrome
%LocalAppData%\
Google\Chrome\
User Data\Default\
Firefox
%AppData%\
Mozilla\Firefox\
Profiles\[profile]\
Edge
%LocalAppData%\
Microsoft\Edge\
User Data\Default\

🌐 Jenis Artefak Browser

Artefak Deskripsi Nilai Forensik
History URL + timestamp Aktivitas browsing
Cookies Data sesi website Identifikasi akun
Cache Salinan halaman web Konten yang diakses
Downloads File yang diunduh File dari internet
Login Data Kredensial tersimpan Username & password
Autofill Data formulir Informasi pribadi

💡 Format database: SQLite — buka dengan DB Browser for SQLite

🗑️ Recycle Bin Forensics

Lokasi: C:\$Recycle.Bin\[SID]\

$I[ID] File
📄 Metadata
  • Path asli file
  • Ukuran file
  • Timestamp penghapusan
$R[ID] File
📦 Konten Asli
  • File asli yang dihapus
  • Konten lengkap
  • Dapat dipulihkan

⚠️ Recycle Bin dikosongkan? File masih bisa di-carve dari unallocated space (HDD)!

📅 Windows Timeline

Windows Timeline — fitur Windows 10 yang merekam aktivitas pengguna secara kronologis dalam database SQLite.

Database:

C:\Users\[user]\AppData\Local\
  ConnectedDevicesPlatform\L.[user]\ActivitiesCache.db

Data yang tersimpan:

  • Aplikasi yang dibuka + timestamp
  • Dokumen yang diedit
  • Website yang dikunjungi
  • Durasi aktivitas

🖼️ Thumbnail Cache

Thumbnail Cache — database thumbnail gambar, video, dan dokumen yang pernah ditampilkan di Windows Explorer. Bertahan setelah file asli dihapus!

Lokasi:

C:\Users\[user]\AppData\Local\Microsoft\Windows\Explorer\
  thumbcache_16.db / _32.db / _96.db / _256.db / _1024.db
Nilai Forensik: Membuktikan keberadaan gambar/video/dokumen secara visual — meskipun file asli sudah dihapus dan Recycle Bin dikosongkan!

🔄 Korelasi Multi-Artefak

Artefak Menjawab Pertanyaan
Event Logs Siapa login? Kapan? Dari mana?
Prefetch Program apa dijalankan? Berapa kali?
Jump Lists File apa dibuka? Dari drive mana?
LNK Files File apa diakses? Di komputer mana?
Browser Website dikunjungi? Apa yang diunduh?
Recycle Bin File apa dihapus? Kapan?
Memory Proses apa berjalan? Koneksi ke mana?

🎖️ Studi Kasus: Eksfiltrasi via USB

Skenario: Personel Kodam diduga menyalin data rahasia ke USB

[08:00] Event 4624  → Login user: TNI_Officer_X
[08:20] Event 7045  → USB Mass Storage service installed
[08:22] LNK File    → E:\Backup\ (Volume: XXXX-YYYY)
[08:25] Jump Lists  → D:\Classified\operasi.docx dibuka
[08:30] Jump Lists  → E:\Backup\operasi.docx ← FILE DISALIN
[08:35] Recycle Bin  → D:\Classified\temp_copy.docx dihapus
[08:40] Event Logs  → USB device disconnected
[09:00] Prefetch    → CCLEANER.EXE ← UPAYA HAPUS JEJAK

🎖️ Analisis Studi Kasus

Event Logs
Login & USB service → Identitas dan waktu
LNK + Jump Lists
Path file → Bukti akses & penyalinan
Recycle Bin
File dihapus → Upaya menghilangkan jejak
Prefetch
CCleaner → Konfirmasi anti-forensik
Kesimpulan: Bukti multi-artefak mengkonfirmasi eksfiltrasi data — setiap artefak saling memperkuat!

📊 Super Timeline

Super Timeline — timeline terintegrasi yang menggabungkan timestamps dari semua sumber artefak ke satu format kronologis terpadu.
Tool Fungsi
KAPE Koleksi & parsing artefak otomatis
log2timeline / plaso Menggabungkan semua timestamps
Timeline Explorer GUI viewer interaktif (Eric Zimmerman)

🎖️ Skenario: Serangan APT

Memory dump menunjukkan:

Process : csrss.exe
Path    : C:\Users\Public\csrss.exe  ← ANOMALI!
Parent  : explorer.exe               ← ANOMALI!
Network : 185.x.x.x:443 (ESTABLISHED)
3 Red Flags:
  • csrss.exe asli hanya di C:\Windows\System32\
  • csrss.exe asli tidak melakukan koneksi jaringan keluar
  • Port 443 = komunikasi C2 terenkripsi

🏷️ MITRE ATT&CK: Masquerading (T1036) + C2 Communication

🧠 Quiz Time!

Pertanyaan 1:

Berdasarkan order of volatility, data mana yang harus dikumpulkan PERTAMA?

A. Hard Disk Image
B. RAM / Memory Dump ✅
C. Event Logs
D. Browser History

💡 RAM hilang saat power off — harus di-capture terlebih dahulu!

🧠 Quiz Time!

Pertanyaan 2:

Event ID berapa yang menunjukkan Security log dihapus (anti-forensik)?

A. 4624
B. 4625
C. 1102 ✅
D. 7045

⚠️ Event ID 1102 = Security audit log cleared — tanda anti-forensik!

🧠 Quiz Time!

Pertanyaan 3:

Proses svchost.exe yang sah selalu memiliki parent process:

A. explorer.exe
B. csrss.exe
C. winlogon.exe
D. services.exe ✅

💡 Parent lain = kemungkinan malware menyamar sebagai svchost!

🧠 Quiz Time!

Pertanyaan 4:

Artefak mana yang tetap menyimpan bukti visual file setelah file asli dihapus?

A. Prefetch Files
B. Event Logs
C. Thumbnail Cache ✅
D. Browser History

💡 Thumbnail tidak ikut terhapus saat file dihapus atau Recycle Bin dikosongkan!

📝 Ringkasan

Konsep Poin Kunci
Order of Volatility CPU Reg → RAM → Network → Disk → Backup
Memory Forensics Volatility 3: pslist, pstree, netscan, malfind
Event Logs 4624 (login), 4625 (failed), 1102 (cleared)
Prefetch Riwayat eksekusi, run count, 8 timestamps
Jump Lists & LNK Path file, volume serial, timestamps
Browser History, cache, downloads — SQLite DB
Recycle Bin $I (metadata) + $R (konten asli)
Super Timeline KAPE + log2timeline + Timeline Explorer

📅 Pertemuan Berikutnya

Pertemuan 06: Forensik Windows II — Registry dan Artefak Pengguna

  • Struktur dan lokasi Windows Registry hives
  • Registry forensics: NTUSER.DAT, SAM, SYSTEM, SOFTWARE
  • USB device history dan mounted devices
  • ShimCache, AmCache, dan UserAssist analysis

📚 Referensi

  1. Carvey, H. (2022). Windows Forensic Analysis (5th Ed.). Academic Press. Chapter 3-5
  2. Casey, E. (2022). Digital Evidence and Computer Crime (4th Ed.). Academic Press. Chapter 9.
  3. Ligh, M.H., et al. (2014). The Art of Memory Forensics. Wiley. Chapter 1-5.
  4. Volatility Foundation. (2024). Volatility 3 Documentation.
  5. Zimmerman, E. (2024). Eric Zimmerman's Tools. ericzimmerman.github.io
  6. SANS Institute. (2023). Windows Forensic Analysis Poster.

Terima Kasih

🔍 Forensik Digital untuk Keperluan Militer

Pertemuan 05: Forensik Windows I — Volatile Data dan Artefak Sistem


Ada pertanyaan?