presentation wsa yuni
DESCRIPTION
ÂTRANSCRIPT
![Page 1: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/1.jpg)
WINDOWS SYSTEM ARTIFACTS
YUNI UTAMI - 4711010014
![Page 2: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/2.jpg)
Pendahuluan
Windows dapat menjadi " jiwa" dari komputer . Kemungkinan besar bahwa
pengujiakan menghadapi sistem operasi Windows kali lebih daripada tidak ketika melakukanpenyelidikan . Kabar baik bagi kita adalah bahwa kita dapat menggunakan Windows
itu sendirisebagai alat untuk memulihkan data dan
melacak jejak yang ditinggalkan oleh pengguna
![Page 3: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/3.jpg)
Dalam perjalanan menggunakan Windows dan banyak yang kompatibelaplikasi , pengguna akan meninggalkan jejak atau artefak yang tersebar di
seluruhmesin . Seperti yang dapat Anda bayangkan , ini cukup berguna dari perspektif
investigasi .Artefak ini sering berada di asing atau " keras
untuk mencapai " tempat . Bahkan individu yang cerdas , bertekad menutupi jejak mereka , dapat
melewatkan beberapa dikuburharta forensik .
![Page 4: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/4.jpg)
DATA DIHAPUSUntuk rata-rata pengguna , menekan tombol delete
memberikan rasa memuaskan keamanan .Dengan klik mouse , kita berpikir data kami selamanya dilenyapkan , tidak pernah lagiuntuk melihat cahaya hari . Pikirkan lagi.Kami tahu fromChapter 2 bahwa ,
bertentangan dengan apa yangbanyak orang percaya , menekan tombol hapus tidak melakukan apa pun untuk
data itu sendiri . itufile tidak pergi ke mana saja . " Menghapus " file hanya memberitahu komputer bahwa ruangdiduduki oleh file tersebut tersedia jika komputer
membutuhkannya . Data yang dihapus akantetap sampai file lain yang ditulis di atas itu . Hal ini
dapat mengambil beberapa waktu, jika dilakukansama sekali.
![Page 5: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/5.jpg)
LEBIH MAJURuang yang tidak terisi pada hard drive dapat berisi
bukti yang berharga . Ekstrak iniData bukanlah tugas yang sederhana. Proses ini
dikenal sebagai ukiran berkas dan dapat dilakukan secara manual
atau dengan bantuan alat . Seperti yang Anda bayangkan , alat dapat sangat mempercepat
proses . File diidentifikasi dalam ruang yang tidak terisi oleh karakteristik unik tertentu .
File header dan footer adalah contoh umum dari karakteristik ini atau tanda tangan .
Header dan footer dapat digunakan untuk mengidentifikasi file serta menandai awal
dan akhir .
![Page 6: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/6.jpg)
Hibernation File ( HIBERFILE.SYS )
Komputer kadang-kadang perlu istirahat dan tidur siang bisa seperti yang kita
lakukan . melaluiini proses " cybernap " , bukti lebih
potensial dapat dihasilkan , tergantung tentang bagaimana "dalam" PC berangkat
tidur . " Jauh tidur " mode seperti hibernasi dan tidur hibrida menyimpan data ke hard drive sebagai lawan hanya memegangnya
di RAM ( seperti "tidur " )
![Page 7: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/7.jpg)
Seperti kita ketahui , data ditulis ke drive itu sendiri
lebih gigih dan dapat dipulihkan . Ada kemungkinan bahwa file yang dihapus oleh
tersangka masih bisa ditemukan di sini . Bagaimana ? Mari kita mengatakan bahwa tersangka bekerja
pada dokumen memberatkan Senin . Dia harus melangkah pergi untuk sementara
untuk membuat panggilan telepon . Dia menempatkan laptop ke mode hibernasi , yang
menyebabkan komputer untuk menyimpan segala sesuatu yang dia lakukan untuk hard drive
![Page 8: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/8.jpg)
Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk
mendapatkan komputerkembali ke operasi secepat mungkin . Microsoft membandingkan
negara iniuntuk " berhenti DVD player " ( Microsoft Corporation; TechTarget ) . Di sini , kecil jumlah daya terus diterapkan pada RAM , menjaga data yang utuh.Ingat , RAM dianggap
memori volatile , yang berarti bahwa data hilangketika kekuasaan akan dihapus . Modus tidur tidak berbuat banyak bagi kami forensik
karenasemua data tetap dalam RAM. Hibernasi adalah juga modus hemat daya
![Page 9: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/9.jpg)
Seperti namanya , tidur hibrida merupakan perpaduan dari dua mode sebelumnya dandimaksudkan terutama untuk desktop . Ini
membuat jumlah minimal daya yang digunakan untuk
RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk . Seperti file halaman , tersangka
bertekad menghancurkan bukti dapat mengabaikan hibernasi ini file . Pedofil atau penjahat korporasi akan sering mencoba untuk menghindari deteksidengan menghapus atau menghancurkan bukti pada hard drive mereka sebagai penyelidikan
menutupdi sekitar mereka .
![Page 10: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/10.jpg)
RegistryWindows Registry memainkan peran penting dalam
pengoperasian PC . Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat
komputer . Dalam konteks itu ,Anda dapat melihat betapa pentingnya registri ke
komputer Windows. Registri melacak pengguna dan sistem konfigurasi dan preferensi ,
yang bukanlah tugas yang sederhana. Dari sudut pandang forensik , dapat memberikan kelimpahan
bukti potensial. Banyak artefak kita mencari disimpan di Registry 67
![Page 11: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/11.jpg)
File registry sistem lab komputer kemudian diperiksa dan tombol USBSTOR
menunjukkan daftar hard drive eksternal yang sama seperti tersangka adalah
dengan pencocokan nomor seri hardware . Hasil ini membuktikan bahwa keras
eksternal tersangkadrive sebenarnya sudah tersambung ke
laptop pada satu waktu
drive eksternal
![Page 12: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/12.jpg)
CETAK spoolingDalam beberapa investigasi , kegiatan pencetakan
tersangka mungkin relevan . Seperti yang Anda mungkinberharap , percetakan juga dapat meninggalkan beberapa
lagu untuk kita ikuti . Anda mungkin telah melihatbahwa ada sedikit penundaan setelah Anda klik Print . Penundaan ini merupakan indikasi dari sebuah prosesdisebut spooling . Pada dasarnya , spooling sementara
menyimpan pekerjaan cetak sampaidapat dicetak pada waktu yang lebih nyaman untuk
printer ( TechTarget ) . selamaprosedur ini spooling , Windows menciptakan sepasang
file komplementer . salah satunya adalahMeta file Ditingkatkan ( EMF ) yang merupakan citra
dokumen yang akan dicetak
![Page 13: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/13.jpg)
RECYCLE BIN" sampah " telah kehadiran akrab di desktop
komputer kita mulai dengan sistem Macintosh awal. Ini adalah ide yang sangat bagus , terutama dari kasual perspektif pengguna. Pengguna mungkin
tidak memahami sektor dan byte , tapi kebanyakan orang
" Mendapat " tempat sampah . Kadang-kadang , meskipun, sampah bisa " mendapatkan " mereka.
Hal ini terutama benar ketika mereka mengandalkan sampah untuk menghapus bukti mereka. Mereka menganggap bahwa data mereka memberatkan
telah menghilang ke digital " Segitiga Bermuda , "tidak pernah lagi melihat cahaya hari
![Page 14: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/14.jpg)
ALERT !File yang tidak diinginkan dapat dipindahkan ke
recycle bin beberapa cara yang berbeda . Mereka bisapindah dari item menu atau dengan menyeret dan
menjatuhkan file ke recycle bin .Akhirnya, Anda bisa klik kanan pada item dan pilih
Delete . Manfaat menempatkanfile ke recycle bin adalah bahwa kita dapat menggali
melalui itu dan tarik file kita kembali .Saya telah bekerja di tempat-tempat menggali melalui
sampah kantor bisa menjadi sangat berbahayamelakukan . Untungnya , hal ini tidak hampir sama
tidak pasti di komputer kita
![Page 15: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/15.jpg)
Tidak semua yang dihapus melewati recycle bin . Seorang pengguna dapat
benar-benarmemotong bin sama sekali . Melewati
dapat dilakukan beberapa cara . Pertama , jika Anda
tekan Shift + Delete , file akan langsung pergi ke ruang yang tidak terisi tanpa
pernah pergimelalui recycle bin .
![Page 16: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/16.jpg)
METADATAMetadata yang paling sering didefinisikan sebagai data tentang data . Odds yang Anda telah datang
di metadata di beberapa titik . Anda mungkin tidak tahu bahwa apa yang Anda melihat . Ada dua rasa
metadata jika Anda akan: aplikasi dan file yangsistem . Ingat , sistem file melacak file dan folder
kita juga karena beberapa informasi tentang mereka . File sistem metadata termasuk tanggal
danwaktu file atau folder telah dibuat , diakses , atau
dimodifikasi
![Page 17: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/17.jpg)
Sistem tanggal dan waktu perangko TIDAK harus diambil hanya pada nilai nominal . inipengaturan yang mudah diakses dan dapat dengan mudah diubah . Menentukan akuratwaktu dapat menjadi lebih rumit jika kasus
tersebut melibatkan lebih dari satu zona waktu . Hanya karena metadata
mengatakan file dibuat pada tanggal tertentu dan waktu tidak
tentu membuatnya begitu .
![Page 18: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/18.jpg)
Metadata dapat membantu peneliti mengidentifikasi semua tersangka dalam kasus
dan memulihkanlebih banyak bukti . Ambil kasus ini dari Houston , Texas mengenai produksi kartu kredit palsu . Para
tersangka dalam kasus ini digunakan " skim " informasi kartu dalam proses produksi kartu
mereka . Kartu kredit " skimming " adalah ketika pencuri
ambil data dari strip magnetik di belakang kartu kredit dan debit . Ini sering terjadi selama transaksi yang sah , seperti ketika Anda
menggunakan kartu Anda untuk membayar untuk makan malam
![Page 19: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/19.jpg)
Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda
disebut thumbnail . Thumbnail hanya miniatur versi rekan-rekan mereka yang lebih besar . Ini
miniatur diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saatmenggunakan Windows Explorer . Windows menciptakan beberapa jenis thumbnail file ,
tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang
sama disebut thumbcache
![Page 20: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/20.jpg)
Windows mencoba untuk membuat hidup kita , setidaknya pada komputer kita , sebagai
menyenangkan sepertimungkin. Mereka mungkin tidak selalu berhasil ,
namun hati mereka di tempat yang tepat .Daftar Paling Baru Digunakan ( MRU ) adalah salah satu contohnya dari Microsoft berpikir
dari kita . The MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file
yang baru saja digunakan . Anda dapat melihat ini dalam tindakan dengan mengklik
tombol Start Windows melalui menu file di banyak aplikasi .
![Page 21: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/21.jpg)
LINK FILESMereka menghemat waktu dan membuat perjalanan
kami lebih mudah , setidaknya dalam teori .Microsoft Windows juga menyukai jalan pintas . Ini
menyukai mereka banyak. Link file hanya jalan pintas. Mereka menunjuk ke file lain . Link file dapat dibuat oleh kami , atau lebih sering oleh komputer .
Anda mungkin telah menciptakan shortcut pada Andadesktop untuk program favorit anda atau folder .
Komputer itu sendiri menciptakan mereka dibeberapa tempat yang berbeda . Anda mungkin telah
melihat dan menggunakan file-file tautan sebelumnya. Mengambil Microsoft Word, misalnya.
Jika Anda melihat di bawah menu File ,
![Page 22: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/22.jpg)
Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika
mereka diciptakan dan terakhir digunakan . Keberadaan link file bisa
menjadi penting . Hal ini dapat digunakan untuk menunjukkan bahwa seseorang
benar-benar membuka file tersebut . Hal ini juga dapat digunakan untuk membantah pernyataan bahwa file atau folder tidak
pernah ada
![Page 23: Presentation wsa yuni](https://reader031.vdocuments.mx/reader031/viewer/2022012402/568bf4b61a28ab89339f08ae/html5/thumbnails/23.jpg)
Kesimpulan Komputer mencatat sejumlah besar informasi tanpa sepengetahuan sebagian besar pengguna . Artefak
ini datang dalam berbagai bentuk dan dapat ditemukan
seluruh sistem . Sebagai contoh, mungkin untuk mengidentifikasi penyimpanan eksternal
perangkat , seperti thumb drive , yang telah terpasang pada sistem . Produk pindah
untuk Windows Recycle Bin dapat memberitahu kami ketika mereka dihapus dan dimana
akun . Bahkan jika file telah dihapus atau ditimpa , salinan file bisa tetap eksis
pada drive dalam berbagai bentuk