Forensik Digital

Pertemuan 06

Forensik Windows II — Registry dan Artefak Pengguna

Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS

🎯 Capaian Pembelajaran

Setelah pertemuan ini, mahasiswa mampu:

  1. Menjelaskan struktur dan lokasi Windows Registry hives
  2. Menganalisis registry hives (NTUSER.DAT, SAM, SYSTEM, SOFTWARE)
  3. Melakukan user account analysis dan profiling
  4. Mengekstraksi riwayat perangkat USB dari registry
  5. Menganalisis application execution artifacts (UserAssist, BAM, ShimCache, AmCache)
  6. Menginterpretasikan Shell Bags dan MRU lists
  7. Melakukan timeline reconstruction menggunakan data registry

📋 Agenda Hari Ini

Bagian 1 — Struktur Registry

  • Pengenalan Windows Registry
  • Registry Hive Files
  • SAM Hive (User Accounts)
  • SYSTEM Hive (USB, Config)

Bagian 2 — Artefak Pengguna

  • SOFTWARE Hive (Network)
  • NTUSER.DAT (UserAssist, MRU, ShellBags)
  • Application Execution Artifacts
  • Timeline Reconstruction

🗄️ Apa itu Windows Registry?

Windows Registry adalah database hierarkis terpusat yang menyimpan informasi konfigurasi sistem operasi, hardware, software, dan preferensi pengguna.

Mengapa penting untuk forensik militer?

  • Merekonstruksi aktivitas pengguna yang dicurigai
  • Mengidentifikasi perangkat USB di workstation pertahanan
  • Mendeteksi instalasi software tidak sah
  • Melacak koneksi jaringan tidak terotorisasi

🌳 Struktur Hierarki Registry

Lima Root Keys utama:

Root Key Singkatan Fungsi
HKEY_LOCAL_MACHINE HKLM Konfigurasi sistem & hardware
HKEY_CURRENT_USER HKCU Preferensi user aktif
HKEY_USERS HKU Profil semua pengguna
HKEY_CLASSES_ROOT HKCR Asosiasi file & COM objects
HKEY_CURRENT_CONFIG HKCC Profil hardware aktif

⏱️ Registry Timestamps

Penting: Setiap registry key memiliki Last Write Time yang merekam kapan key terakhir dimodifikasi — berlaku untuk key, bukan individual value.

Setiap key terdiri dari:

  • Subkeys — cabang di bawah key utama
  • Values — data (nama, tipe, data)
  • Last Write Time — timestamp modifikasi terakhir

📊 Tipe Data Registry

Tipe Deskripsi Contoh
REG_SZ String teks biasa C:\Windows\notepad.exe
REG_EXPAND_SZ String + variabel environment %SystemRoot%\notepad.exe
REG_BINARY Data biner mentah 48 65 6C 6C 6F
REG_DWORD Integer 32-bit 0x00000001
REG_MULTI_SZ Array string ["val1", "val2"]

💡 Banyak artefak forensik penting (UserAssist, ShimCache) disimpan sebagai REG_BINARY

📁 Registry Hive Files

Registry Hive = file fisik yang menyimpan bagian-bagian registry di disk.
Hive Lokasi File Registry Path
SAM System32\config\SAM HKLM\SAM
SYSTEM System32\config\SYSTEM HKLM\SYSTEM
SOFTWARE System32\config\SOFTWARE HKLM\SOFTWARE
SECURITY System32\config\SECURITY HKLM\SECURITY
NTUSER.DAT C:\Users\<user>\NTUSER.DAT HKCU / HKU\<SID>
UsrClass.dat ...\AppData\Local\...\UsrClass.dat HKCU\Software\Classes

📋 Transaction Logs

Setiap hive memiliki file log perubahan:

SAM.LOG1, SAM.LOG2
SYSTEM.LOG1, SYSTEM.LOG2
SOFTWARE.LOG1, SOFTWARE.LOG2
NTUSER.DAT.LOG1, NTUSER.DAT.LOG2
⚠️ Signifikansi Forensik: Transaction logs dapat mengandung data yang belum di-flush ke hive utama — terutama jika sistem crash atau shutdown tidak normal!

💡 Registry Explorer (Eric Zimmerman) dapat melakukan replay transaction logs

🔧 Ekstraksi Hive Files

Hive files locked saat Windows berjalan!

Metode Tool Keterangan
Dari Forensic Image FTK Imager, Autopsy Navigasi ke lokasi, extract
Live Extraction FTK Imager (live) Bypass file system lock
Registry Backup reg save Export via Windows API
Volume Shadow Copy vssadmin Akses snapshot historis

👤 SAM Hive — User Account Analysis

SAM (Security Account Manager) menyimpan informasi akun pengguna lokal: nama, SID, password hashes, dan metadata akun.
Artefak Nilai Forensik
Nama Pengguna + SID Identifikasi akun
Last Login Time Kapan terakhir login
Account Creation Time Kapan akun dibuat
Login Count Frekuensi penggunaan
Account Flags Aktif/disabled/locked
Password Hashes NT/LM hash untuk analisis

🔑 Security Identifier (SID)

Identifier unik untuk setiap akun Windows:

Format: S-1-5-21-<Domain/Machine ID>-<RID>
Contoh: S-1-5-21-3623811015-3361044348-30300820-1013
RID Akun
500 Administrator (built-in)
501 Guest
1000+ Akun pengguna yang dibuat

💡 Konteks Militer: Analisis SAM mengungkap akun mencurigakan, anomali login, dan akun backdoor di workstation pertahanan

⚙️ SYSTEM Hive — Konfigurasi Sistem

Artefak Lokasi Registry Nilai Forensik
Computer Name ...\ComputerName Identifikasi sistem
Time Zone ...\TimeZoneInformation Koreksi timestamp
USB History ...\Enum\USBSTOR Riwayat USB devices
ShimCache ...\AppCompatCache Execution history
Shutdown Time ...\Windows\ShutdownTime Waktu shutdown terakhir
Services ...\Services Layanan terinstal

🔌 USB Device History

Lokasi: SYSTEM\ControlSet001\Enum\USBSTOR

USBSTOR\
├── Disk&Ven_SanDisk&Prod_Cruzer&Rev_8.01\
│   └── 4C530000270816105372&0\
│       ├── FriendlyName = "SanDisk Cruzer USB Device"
│       └── Properties\ (timestamps)
Informasi Sumber
Vendor, Product, Revision Key name parsing
Serial Number Subkey name
First Connect Key timestamp / setupapi.dev.log
Last Connect / Last Removal Properties subkeys

🔗 Korelasi USB — Profil Lengkap

Membangun profil USB memerlukan data dari multiple sumber:

1. USBSTOR
Vendor, Product, Serial Number
2. MountedDevices
Drive letter (E:, F:, ...)
3. MountPoints2
User yang mengakses volume
4. ShellBags
Folder yang di-browse

💡 Korelasi ini menjawab: Apa perangkatnya, siapa yang mengakses, kapan dihubungkan, dan apa yang dilakukan

💿 SOFTWARE Hive — Artefak Software

Artefak Lokasi Informasi
OS Version ...\CurrentVersion Build, install date, owner
Installed Programs ...\Uninstall\ Nama, versi, tanggal install
Network Profiles ...\NetworkList\Profiles SSID, timestamps koneksi
Network Signatures ...\NetworkList\Signatures MAC address access point
⚠️ Konteks Militer: Mendeteksi software tidak sah (hacking tools, RATs) dan koneksi ke jaringan non-militer!

📶 Wireless Network Profiles

Windows merekam setiap jaringan yang pernah terhubung:

Value Informasi Nilai Forensik
ProfileName SSID jaringan Jaringan yang pernah terhubung
DateCreated First connect Timeline koneksi
DateLastConnected Last connect Aktivitas terkini
DefaultGatewayMac MAC address AP Geolokasi via WiGLE.net

🎖️ MAC address AP → Geolokasi → Verifikasi keberadaan personel militer

👤 NTUSER.DAT — Artefak Pengguna

NTUSER.DAT = Registry hive per-pengguna yang menyimpan semua preferensi dan artefak aktivitas spesifik user.

Artefak kunci di NTUSER.DAT:

UserAssist
Program GUI yang dijalankan
MRU Lists
File/perintah yang baru diakses
Shell Bags
Folder yang pernah dibrowse
MountPoints2
Volume yang pernah di-mount

🖱️ UserAssist

UserAssist merekam program yang dijalankan via Windows Explorer (GUI), termasuk jumlah eksekusi dan waktu terakhir.

Lokasi: NTUSER.DAT\...\Explorer\UserAssist\{GUID}\Count

Data Deskripsi
Run Count Berapa kali program dijalankan
Focus Count Berapa kali window mendapat focus
Focus Time Total waktu focus (ms)
Last Execution Timestamp terakhir dijalankan

🔐 UserAssist — ROT13 Encoding

Data UserAssist di-encode menggunakan ROT13 cipher:

ROT13 (Encoded) Decoded
Pnyphyngbe Calculator
P:\Hfref\Nqzva\Qrfxgbc\JvaFPC.rkr C:\Users\Admin\Desktop\WinSCP.exe
🎖️ Studi Kasus: WinSCP.exe (file transfer tool) dijalankan 5x dari Desktop, 30 menit sebelum kebocoran data → indikasi kuat eksfiltrasi data!

📝 MRU (Most Recently Used) Lists

Artefak MRU Lokasi (NTUSER.DAT) Merekam
RecentDocs ...\Explorer\RecentDocs File yang baru dibuka
RunMRU ...\Explorer\RunMRU Perintah dari Run dialog (Win+R)
TypedPaths ...\Explorer\TypedPaths Path yang diketik di Explorer
TypedURLs ...\Internet Explorer\TypedURLs URL yang diketik
OpenSaveMRU ...\ComDlg32\OpenSavePidlMRU File yang dibuka/disimpan via dialog

🔍 Studi Kasus: Korelasi MRU

Temuan dari investigasi workstation Kodam:

RecentDocs: Laporan_Rahasia_Pertahanan_2025.docx
OpenSaveMRU: E:\Exfil\Laporan_Rahasia_Pertahanan_2025.docx

Analisis:

  • Drive E: → kemungkinan removable media (USB)
  • Folder "Exfil" → istilah umum eksfiltrasi data 🚨
  • File rahasia pertahanan disalin ke USB drive
  • Langkah: korelasi E: dengan USBSTOR + MountedDevices

📂 Shell Bags

Shell Bags merekam pengaturan tampilan folder Windows Explorer untuk setiap folder yang pernah dibuka pengguna.

Lokasi:

  • NTUSER.DAT\...\Shell\BagMRU dan Bags
  • UsrClass.dat\...\Shell\BagMRU dan Bags
Mengapa Sangat Berharga: Shell Bags merekam akses folder bahkan setelah drive dicabut atau folder dihapus!

📂 Shell Bags — Data yang Terekam

Data Deskripsi
Folder Path Setiap folder yang pernah dibuka
First Accessed Kapan folder pertama kali diakses
Last Accessed Kapan folder terakhir diakses
Network Paths Share paths yang pernah diakses
Removable Media Folder di USB/external drive yang pernah dibrowse

🎖️ Contoh: ShellBags menunjukkan E:\ProjectX\Classified\Intel_Reports\ — meskipun USB sudah dicabut!

⚡ Application Execution Artifacts

Empat artefak utama yang merekam eksekusi program:

UserAssist
NTUSER.DAT | Per-User
Run Count + GUI Only
ShimCache
SYSTEM | System-wide
Broad Coverage + Modified Time
AmCache
Amcache.hve | System-wide
SHA-1 Hash + First Run
BAM/DAM
SYSTEM | Per-User (SID)
Last Execution + Win10+

📋 ShimCache (AppCompatCache)

ShimCache merekam metadata executable yang dijalankan/diakses untuk application compatibility.

Lokasi: SYSTEM\...\Session Manager\AppCompatCache

Data Deskripsi
File Path Full path executable
Last Modified Time Timestamp modifikasi file
Execution Flag Apakah dieksekusi (Win7 only)
⚠️ Perhatian: Di Windows 8+, entry di ShimCache TIDAK selalu berarti file dieksekusi! Gunakan artefak lain untuk konfirmasi.

🗃️ AmCache

AmCache merekam informasi eksekusi aplikasi termasuk SHA-1 hash file.

Lokasi: C:\Windows\AppCompat\Programs\Amcache.hve

Data Nilai Forensik
SHA-1 Hash Identifikasi malware via VirusTotal
First Execution Timeline kapan pertama dijalankan
Publisher Verifikasi legitimasi via digital signature
Link Date PE compile time → deteksi timestomping

✅ Keunggulan: SHA-1 hash memungkinkan identifikasi malware bahkan setelah file dihapus!

📊 BAM/DAM

BAM (Background Activity Moderator) merekam path executable + timestamp eksekusi per pengguna (via SID).

Lokasi: SYSTEM\...\Services\bam\State\UserSettings\<SID>

Value Konten
Value Name Full path executable
Value Data Windows FILETIME (last execution)

💡 Keunggulan: Langsung mengasosiasikan eksekusi dengan SID pengguna spesifik — tersedia di Windows 10+

📊 Perbandingan 4 Artefak Eksekusi

Artefak Hive Per-User? Hash? Run Count? Best For
UserAssist NTUSER Ya Tidak Ya GUI execution frequency
ShimCache SYSTEM Tidak Tidak Tidak Broad coverage, deleted files
AmCache Amcache.hve Tidak SHA-1 Tidak Malware identification
BAM/DAM SYSTEM Ya (SID) Tidak Tidak Per-user last execution

💡 Investigasi menyeluruh harus mengkorelasikan keempat artefak!

🚨 Studi Kasus: Korelasi Eksekusi

Investigasi di Markas Besar TNI — temuan artefak mimikatz.exe:

Artefak Temuan
ShimCache C:\Temp\mimikatz.exe — Modified: 02:30
AmCache SHA-1: a1b2c3d4... — First Run: 02:35
BAM SID-1001 → mimikatz.exe — Last: 02:45
UserAssist ❌ Tidak ada entry → dijalankan via CMD, bukan GUI
Kesimpulan: Tool credential dumping dijalankan via command line pada dini hari oleh user RID 1001 — indikasi kuat serangan lateral movement!

⏰ Timeline Reconstruction

Sumber timestamp dari registry:

Artefak Tipe Timestamp Lokasi
Key Last Write Time Modifikasi key Semua hive
UserAssist Last execution NTUSER.DAT
USBSTOR Connect/disconnect SYSTEM
Network Profiles Created/last connected SOFTWARE
BAM/DAM Last execution SYSTEM
SAM Last login, creation SAM

⚠️ Semua registry timestamps dalam UTC — periksa TimeZoneInformation di SYSTEM!

📅 Studi Kasus: Timeline Eksfiltrasi

Waktu Artefak Kejadian
22:00 SAM Login "operator1" (luar jam kerja)
22:10 USBSTOR USB SanDisk Ultra terhubung
22:15 OpenSaveMRU secret_ops.xlsx dibuka
22:20 BAM xcopy.exe dijalankan → salin data!
22:30 USBSTOR USB disconnected
22:32 Network Terhubung ke "AndroidAP" hotspot
22:35 BAM curl.exe → upload via internet!

📅 Analisis Timeline

Skenario: Eksfiltrasi Data Dua Tahap

Fase 1: USB Copy

  • Login malam hari (anomali)
  • USB terhubung
  • File rahasia dibuka
  • xcopy → salin ke USB

Fase 2: Upload Internet

  • Hotspot personal (bypass monitoring)
  • curl → upload data
  • Disconnected
  • Account locked 🔒

🎖️ Rekomendasi: Sita USB (SN dari USBSTOR), periksa handphone, audit log curl.exe

🛠️ Tools Forensik Registry

Tool Fungsi Output
Registry Explorer GUI browsing + auto decode Interactive
ShellBags Explorer Shell Bags analysis GUI + CSV
AmcacheParser AmCache parsing + SHA-1 CSV / Timeline
RegRipper Plugin-based extraction Text reports
USBDeview USB device history GUI + CSV

Semua tools gratis! Download: ericzimmerman.github.io, nirsoft.net

🏆 Registry Explorer vs Regedit

Fitur Regedit Registry Explorer
Offline Analysis ❌ Live only ✅ Load hive offline
Transaction Logs ❌ Tidak ✅ Replay LOG1/LOG2
Auto Decode ❌ Tidak ✅ ROT13, FILETIME
Forensic Bookmarks ❌ Tidak ✅ Artefak penting
Integritas Bukti ❌ Mengubah live ✅ Read-only

🛡️ Anti-Forensik dan Mitigasi

Teknik Anti-Forensik

  • Registry wiping
  • Timestamp manipulation
  • UserAssist clearing
  • Privacy cleaners (CCleaner)

Mitigasi

  • Replay transaction logs
  • Volume Shadow Copies
  • RegBack folder backup
  • Cross-reference non-registry

💡 Kehadiran privacy cleaner tools sendiri merupakan artefak yang harus dilaporkan!

🧠 Quiz Time!

Pertanyaan 1:

File registry hive manakah yang menyimpan artefak UserAssist dan MRU Lists?

A. SAM
B. SYSTEM
C. NTUSER.DAT ✅
D. SOFTWARE

💡 NTUSER.DAT menyimpan semua artefak aktivitas per-pengguna!

🧠 Quiz Time!

Pertanyaan 2:

Artefak manakah yang menyediakan SHA-1 hash untuk identifikasi malware?

A. UserAssist
B. ShimCache
C. AmCache ✅
D. BAM/DAM

💡 AmCache menyimpan SHA-1 hash — query ke VirusTotal untuk identifikasi malware!

🧠 Quiz Time!

Pertanyaan 3:

Mengapa Shell Bags sangat berharga untuk investigasi USB?

A. Merekam serial number USB
B. Merekam folder yang dibrowse meskipun USB sudah dicabut ✅
C. Merekam file yang disalin
D. Merekam password USB

⚠️ Shell Bags tetap menyimpan catatan folder meskipun drive sudah tidak terhubung!

🧠 Quiz Time!

Pertanyaan 4:

Data UserAssist di-encode menggunakan cipher apa?

A. AES-256
B. ROT13 ✅
C. Base64
D. XOR

💡 ROT13 adalah substitution cipher sederhana — Pnyphyngbe = Calculator

📝 Ringkasan

Konsep Poin Kunci
Registry Hives SAM, SYSTEM, SOFTWARE, NTUSER.DAT, UsrClass.dat
SAM User accounts, SID, login history
SYSTEM USB (USBSTOR), ShimCache, config
SOFTWARE Installed programs, network profiles
NTUSER.DAT UserAssist, MRU, ShellBags, MountPoints2
Execution Artifacts UserAssist + ShimCache + AmCache + BAM
USB Forensik USBSTOR + MountedDevices + MountPoints2 + ShellBags
Tools Registry Explorer, ShellBags Explorer, AmcacheParser

📅 Pertemuan Berikutnya

Pertemuan 07: Forensik Linux dan Pengenalan Mac OS

  • Arsitektur filesystem Linux (ext4, XFS)
  • Artefak forensik Linux (logs, bash history, cron)
  • Pengenalan APFS dan artefak Mac OS
  • Praktikum menggunakan WSL (Windows Subsystem for Linux)

📚 Referensi

  1. Carvey, H. (2022). Windows Forensic Analysis (5th Ed.). Elsevier. Chapter 6-8
  2. Casey, E. (2022). Digital Evidence and Computer Crime (4th Ed.). Academic Press. Chapter 9.
  3. Phillips, A., et al. (2022). Guide to Computer Forensics and Investigations (6th Ed.). Cengage. Chapter 6-7.
  4. SANS Institute. (2023). Windows Forensic Analysis Poster.
  5. Eric Zimmerman Tools: ericzimmerman.github.io

Terima Kasih

🔍 Forensik Digital untuk Keperluan Militer

Pertemuan 06: Forensik Windows II — Registry dan Artefak Pengguna


Ada pertanyaan?