Pengambilan Kunci
- Windows adalah sistem operasi yang banyak digunakan yang telah menjadi pokok dalam komputasi personal selama beberapa dekade.
- Linux adalah sistem operasi sumber terbuka populer yang biasa digunakan di berbagai domain, termasuk server, desktop, dan sistem tertanam.
- Windows menggunakan Sistem File Teknologi Baru (NTFS), sedangkan forensik Linux menggunakan Ext4 dan XSZ.
Apa itu Forensik Windows?
Windows Forensics mengacu pada proses pengumpulan, analisis, dan interpretasi bukti digital dari sistem operasi Windows dalam konteks investigasi atau penyelidikan. Analisis forensik ini bertujuan untuk memahami urutan kejadian, memulihkan data yang hilang, mengidentifikasi aktivitas berbahaya, atau menentukan tindakan yang diambil pada sistem tertentu. Berikut adalah beberapa elemen inti dan pertimbangan mengenai Windows Forensics:
- Akuisisi Data: Sebelum analisis apa pun, data perlu dikumpulkan dari sistem tersangka. Hal ini dapat dilakukan dengan beberapa cara, seperti membuat salinan (image) bit demi bit dari hard drive atau mengambil konten memori RAM. Sangat penting untuk melakukan operasi ini tanpa mengubah data asli.
- Analisis Sistem File: Windows terutama menggunakan sistem file NTFS. Windows Forensics melibatkan analisis Master File Table (MFT), yang melacak semua file pada volume NTFS, propertinya, dan lokasinya. File yang dihapus, stempel waktu akses file, dan metadata relevan lainnya diperiksa.
- Analisis Registri: Registri Windows adalah database hierarkis yang menyimpan pengaturan tingkat rendah untuk OS dan aplikasi yang berjalan di platform. Analisis forensik dapat mengambil informasi tentang perangkat lunak yang diinstal, aktivitas pengguna, koneksi jaringan, dan lainnya dari registri.
- Log Peristiwa: Windows menyimpan log peristiwa terperinci yang melacak aktivitas sistem, kesalahan, peringatan, dan peristiwa informasi. Pakar forensik dapat menganalisis log ini untuk mendapatkan tampilan kronologis kejadian dan memahami setiap anomali atau aktivitas mencurigakan.
- Artefak Internet: Menganalisis riwayat browser, cache, cookie, dan file terkait web lainnya dapat mengungkap situs web yang dikunjungi, file yang diunduh, dan aktivitas online lainnya.
- Forensik Memori: Menganalisis isi RAM sistem dapat mengungkap proses yang sedang berjalan, file yang terbuka, koneksi jaringan, dan banyak lagi. “Memori volatil” ini berisi informasi berharga yang tidak akan bertahan lama setelah komputer dimatikan.
- Pemulihan Data yang Dihapus: Sekalipun data telah dihapus atau upaya telah dilakukan untuk menghapusnya, alat forensik dapat memulihkan fragmen atau keseluruhan file berdasarkan cara Windows menangani penghapusan.
- Alat Analisis: Berbagai alat khusus seperti Encase, FTK (Forensic Toolkit), Volatilitas, dan lainnya telah dikembangkan secara khusus untuk Forensik Windows. Alat-alat ini membantu ahli forensik mengotomatiskan dan menyederhanakan banyak tugas rumit.
- Rantai Pengawasan: Mempertahankan lacak balak yang tepat sangat penting dalam konteks hukum. Ini memastikan bahwa bukti digital tetap utuh dan tidak terkontaminasi, dan dapat dilacak kembali ke sumbernya. Setiap perubahan atau akses tidak sah dapat menganggap bukti tidak dapat diterima di pengadilan.
Windows Forensics sangat penting untuk keamanan siber, investigasi hukum, dan respons insiden. Mengingat prevalensi sistem Windows di seluruh dunia, keahlian dalam domain ini tetap sangat dicari.
Apa itu Forensik Linux?
Forensik Linux adalah bidang wajib dalam investigasi digital dan keamanan dunia maya. Ini telah menjadi sistem operasi yang banyak digunakan di lingkungan server dan komputer pribadi. Ini melibatkan penerapan teknik dan alat forensik untuk mengumpulkan, melestarikan, menganalisis, dan menafsirkan bukti digital dari sistem Linux.
Ini terutama bertujuan untuk mengumpulkan, mengekstrak, dan merekonstruksi informasi yang dibebaskan dari berbagai sumber dalam lingkungan Linux, seperti log file, memori, jaringan, lalu lintas, dan konfigurasi sistem. Proses ini membantu penyelidik memahami garis waktu kejadian, mengidentifikasi potensi penyerang atau aktivitas jahat, dan memberikan bukti untuk proses hukum.
Analisis memori adalah bagian penting dari forensik Linux. Penyelidik menangkap memori volatil (RAM) sistem Linux untuk mengekstrak informasi berharga seperti proses yang berjalan, koneksi jaringan, file yang terbuka, dan sisa-sisa kode atau aktivitas berbahaya. Ini juga melibatkan berurusan dengan berbagai teknik anti-forensik dan penanggulangan yang digunakan oleh penyerang untuk menghalangi atau menghindari deteksi.
Perbedaan Antara Forensik Windows dan Linux
- Sistem file yang paling umum digunakan di Windows adalah NTFS (Sistem File Teknologi Baru), sedangkan sistem file yang lazim di Linux mencakup Ext4 dan XFS.
- Registri Windows adalah database hierarkis terpusat, sementara sistem Linux tidak memiliki registri terpusat yang setara seperti Windows.
- Windows mengandalkan alat dan perangkat lunak berpemilik seperti Encase dan FTK, sedangkan Linux, di sisi lain, menggunakan alat sumber terbuka seperti The Sleuth kit dan Autopsy.
- Windows menggunakan sistem Access Control List (ACL) untuk mengelola sistem file, sedangkan Linux menggunakan model izin berbeda berdasarkan pemilik, grup, dan izin lainnya.
- Windows berfokus pada artefak seperti log peristiwa, Prefetch, dan file tautan. Pada saat yang sama, forensik Linux melibatkan analisis file log, log sistem, dan artefak lain yang spesifik untuk lingkungan Linux.
Perbandingan antara Forensik Windows dan Linux
| Parameter Perbandingan | Windows | Forensik Linux |
|---|---|---|
| File system | NTFS (sistem file teknologi baru) | Ext4 dan XFS |
| pendaftaran | Basis data hierarkis terpusat | Tidak ada registri terpusat |
| Alat dan perangkat lunak | Encase dan FTK | Sleuth Menyala dan Otopsi |
| Izin file | Menggunakan Daftar Kontrol Akses (ACL) untuk mengelola file | Bervariasi sesuai pemilik, grup, dan izin lainnya |
| Artefak | Log peristiwa, file prefetch, dan file tautan | File log dan log sistem |
- https://commons.erau.edu/adfsl/2015/tuesday/6
- https://www.sciencedirect.com/science/article/pii/S1742287618301944
Terakhir Diperbarui : 14 Agustus 2023
Saya telah berusaha keras menulis posting blog ini untuk memberikan nilai kepada Anda. Ini akan sangat membantu saya, jika Anda mempertimbangkan untuk membagikannya di media sosial atau dengan teman/keluarga Anda. BERBAGI ADALAH ️
Sandeep Bhandari meraih gelar Bachelor of Engineering in Computers dari Thapar University (2006). Beliau memiliki pengalaman selama 20 tahun di bidang teknologi. Dia memiliki minat dalam berbagai bidang teknis, termasuk sistem database, jaringan komputer, dan pemrograman. Anda dapat membaca lebih lanjut tentang dia di nya halaman bio.
