Analisis registry
Analisis Registry - Makalah Digital Forensik |
Saat ini penggunaan komputer atau laptop merupakan salah satu sistem operasi yang banyak digunakan di dunia adalah sistem operasi Windows. Sehingga Windows Forensic merupakan bagian dari Computer Forensik ataupun Digital Forensik yang fokusnya pada sistem operasi Windows. Hal itulah yang menjadi pokok pembahasan utama kali ini. Kami akan membahas tentang analisis registry pada sistem operasi Windows yang merupakan bagian dari salah satu bagian makalah digital forensik.
Definisi registry
Analisis disk forensik adalah ilmu yang sudah mulai berkembang, analisis forensik melibatkan berbagai media penyimpanan. Ilmu forensik ini didokumentasikan dengan baik dalam berbagai literatur, bahkan profesional TI dapat menangani masalah disk forensik ini. Misalnya, dapatkan file yang dihapus, ubah partisi hard drive, cari jejak bad sector, kembalikan registri Windows yang telah dimodifikasi atau disembunyikan oleh virus, dll.Ketika masuk ke registri Windows, itu juga disebut operasi dalam proses forensik, karena registri adalah konfigurasi dasar sistem dan sistem yang logis dan unik. Pada dasarnya, registri dibagi menjadi tiga database terpisah dan ditugaskan untuk menangani pengguna, sistem, dan konfigurasi jaringan, di mana bagian-bagian ini menyimpan informasi yang sangat penting. Untuk meng-unmount registri, Anda harus terlebih dahulu mengetahui strukturnya daripada Windows.
Registry terdiri dari tujuh kunci root:
1.HKEY_CLASSES_ROOT
Informasi yang disimpan di sini memastikan bahwa program yang benar dibuka ketika dijalankan di Windows Explorer. Ini juga berisi detail lebih lanjut tentang aturan seret dan letakkan, pintasan, dan informasi tentang UI. Alias untuk: Kelas HKLM \ Software \2. HKEY_CURRENT_USER
Berisi informasi konfigurasi untuk pengguna yang saat ini terhubung ke sistem, termasuk folder pengguna, warna layar, dan pengaturan panel kontrol. Alias untuk cabang khusus pengguna di HKEY_USERS. Informasi umum biasanya berlaku untuk semua pengguna dan HKU \ .DEFAULT.3. HKEY_LOCAL_MACHINE
Berisi informasi khusus tentang perangkat perangkat keras tempat sistem operasi berjalan. Ini termasuk daftar drive yang dipasang di sistem dan konfigurasi umum perangkat dan aplikasi yang diinstal.4. HKEY_USERS
Ini berisi informasi konfigurasi untuk semua profil pengguna dalam sistem, yang menunjukkan konfigurasi aplikasi dan konfigurasi visual.5. HKEY_CURRENT_CONFIG
Menyimpan informasi tentang konfigurasi sistem saat ini. Alias untuk: profil HKLM \ Config6. HKEY_DYN_DATA
Kunci ini adalah salinan sementara yang diperlukan untuk Windows untuk dengan cepat mengakses data log. HKEY_DYN_DATA dibuat pada saat komputer dihidupkan (boot) dan akan dihapus setelah komputer dimatikan (shutdown).7. HKEY_PERFORMANCE_DATA
Menyimpan informasi kinerja sistem yang dikumpulkan oleh penghitung kinerja Windows NT.Dalam log ini, Anda akan melihat informasi yang tersimpan di dalamnya, misalnya melihat aktivitas internet dapat mengakses registry key sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\
InternetExplorer\TypedUr, Untuk melihat beberapa device yang terintegrasi pada komputer dapat mengakses registry key sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Device
Ada hal lain yang dapat dianalisis dari registri Windows, misalnya mengetikkan command pada run command windows tercatat pada registry. Untuk dapat mengaksesnya melalui registry key sebagai berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
Tools pemeriksaan
Saat ini, ada banyak tools yang tersedia untuk pemeriksa forensik untuk mengekstraksi bukti dari Registry. Tools yang digunakan dalam dokumen ini untuk menganalisis dan menavigasi registri adalah Editor Registri (regedit.exe). Editor Registri gratis dan tersedia di semua instalasi Microsoft Windows XP dengan hak administrator.Registry sebagai log
Semua kunci registri memiliki nilai terkait, disebut waktu "LastWrite", yang sangat mirip dengan waktu file terakhir diubah. Nilai ini disimpan sebagai struktur FILETIME dan menunjukkan terakhir kali kunci registri dimodifikasi. Mengacu pada Pangkalan Pengetahuan Microsoft, struktur FILETIME mewakili sejumlah 100 nanodetik interval sejak 1 Januari 1601. Waktu LastWrite diperbarui ketika Anda membuat, memodifikasi, mengakses, atau menghapus kunci registri. Sayangnya, hanya waktu kunci registri LastWrite yang dapat diperoleh, sedangkan waktu LastWrite untuk nilai registri tidak dapat diperoleh.Mengetahui waktu terakhir LastWrite dapat memungkinkan analis forensik untuk mengurangi perkiraan tanggal atau waktu acara. Meskipun orang mungkin tahu kapan kunci registri terakhir diubah, masih sulit untuk menentukan nilai yang telah diubah. Menggunakan Registri adalah catatan yang sangat berguna untuk mengaitkan waktu antara kunci registri LastWrite dan sumber informasi lainnya, seperti MAC (dimodifikasi, diakses, atau dibuat) kali dalam sistem file.
Kesimpulan
Ada banyak bidang ilmu forensik untuk teknologi informasi yang harus dieksplorasi secara lebih mendalam, karena bidang ini telah menjadi bagian yang sangat penting dalam penemuan kejahatan komputer. Ini tidak dapat dipisahkan dari ini, karena sains berkembang lebih cepat dengan moral manusia yang semakin mundur dari nilai-nilai agama. Setiap aktivitas manusia yang penting harus dipantau.
Registri dapat menyediakan banyak data untuk penyelidik forensik. Dengan banyak sumber data yang dihapus dan historis, gambaran yang lebih lengkap dari kegiatan penyerang dapat dikumpulkan selama investigasi. Ketika penyerang terus mendapatkan kecanggihan dan meningkatkan keahlian mereka, penyelidik harus beradaptasi untuk menemukan dan bertahan melawan mereka.
Sekian pembahasan kami tentang "Materi Analisis Registry - Makalah Digital Forensik". Mohon maaf bila ada kesalahan dan ini hanyalah sedikit dari dunia digital forensik yang luas. Share artikel ini bila dirasa bermanfaat, Terimakasih.