N A M A K E L O M P O K :

Tujuan

 Menjelaskan tujuan dan struktur file sistem  Menjelaskan struktur berkas pada Microsoft

 _{Jelaskan struktur New Technology File System}

(NTFS) disk

 Daftar beberapa pilihan untuk mendekripsi drive

Memahami sistem berkas

file system

_{Memberikan OS peta jalan untuk data pada disk} Jenis file sistem OS menggunakan menentukan bagaimana data disimpan pada disk

 _{Sebuah sistem berkas biasanya langsung}

berhubungan dengan OS

 Bila Anda perlu mengakses komputer tersangka

Memahami Urutan Booting

 _{Complementary Metal Oxide Semiconductor (CMOS)}

komputer menyimpan konfigurasi sistem ,tanggal dan informasi waktu di CMOS (Jika power dimatikan)

 _{Basic Input / Output System (BIOS)}

Berisi program yang melakukan input dan output pada tingkat hardware

 Bootstrap process

Berada dalam ROM, memberitahu komputer bagaimana untuk melanjutkan Menampilkan kunci atau Anda menekan tombol untuk membuka layar setup CMOS

Memahami Disk Drives

Disk drive terdiri dari satu atau lebih piringan dilapisi dengan bahan magnetik, Komponen disk

 _geometri  kepala  trek

Properti yang ditangai di harddrive atau tingkat firmware

 Rekaman bit Zone (ZBR)  melacak kepadatan

 _Densitas

Struktur berkas pada microsoft

 Kelompok yang diberi nomor berurutan mulai dari 2  Sektor pertama dari semua disk berisi area sistem,

boot record, dan database struktur file

 OS memberikan angka-angka klaster, yang disebut

alamat logis

 _{Nomor sektor disebut alamat fisik}

 Cluster dan alamat adalah logika khusus pada partisi

Partisi disk

Partisi adalah drive logis

 FAT16 tidak mengenali disk lebih besar dari 2 MB

(disk yang besar harus dipartisi)

 Partisi tersembunyi atau void (Kesenjangan yang

besar antara yang tidak terpakai dengan partisi yang terpakai)

 kesenjangan pada partisi (Ruang yang tidak terpakai

Master Boot Record

 Pada Windows dan sistem komputer DOS Boot disk

berisi file bernama Master Boot Record (MBR)

 _{MBR menyimpan informasi tentang partisi pada}

disk dan lokasi mereka, ukuran, dan informasi penting lainnya

 Beberapa produk perangkat lunak dapat

Ukuran cluster pada FAT 16 bervariasi sesuai dengan ukuran hard disk dan sistem file

• Microsoft OS mengalokasikan ruang disk untuk file dengan cluster Hasil di letakkan pada drive slack

Deleting FAT Files

 Dalam Microsoft OS, ketika file dihapus

o _{Direktori entri ditandai sebagai file yang dihapus} Dengan HEX E5 (σ) karakter menggantikan huruf pertama dari nama file

o _{Rantai FAT untuk file itu diatur ke 0}

 _{Data dalam file tersebut tetap pada disk drive}

 Area disk dimana file yang dihapus berada menjadi

NTFS DISK

_{New Technology File System (NTFS)}

 _{Diperkenalkan dengan Windows NT}  Sistem file utama untuk Windows Vista

_{Perbaikan atas sistem berkas FAT}

 NTFS menyediakan informasi lebih lanjut tentang file

 _{NTFS memberikan kontrol lebih besar atas file dan folder}

_{NTFS adalah langkah Microsoft terhadap perbaikan sistem file} _{Dalam NTFS, segala sesuatu yang ditulis ke disk dianggap file}

Pada disk NTFS

_{NTFS juga menggunakan Unicode (Sebuah format data}

MFT Attributes files

 Dalam NTFS MFT Semua file dan folder yang

disimpan dalam catatan terpisah 1024 byte masing-masing

 Setiap record berisi file atau folder informasi,

Informasi ini dibagi menjadi bidang catatan berisi metadata

 Sebuah catatan lapangan disebut sebagai atribut ID  _{File atau folder informasi biasanya disimpan dalam}

MFT and File Attributes

 File yang lebih besar dari 512 byte disimpan di luar

MFT

 _{Catatan MFT menyediakan alamat klaster di mana}

file tersebut disimpan pada partisi drive

 _{Disebut sebagai data berjalan}

 _{Setiap record MFT dimulai dengan sundulan}

NTFS Data Streams

data stream

 Data dapat ditambahkan ke file yang sudah ada  _{Dapat mengaburkan Data pembuktian berharga,}

sengaja atau kebetulan

Dalam NTFS, aliran data menjadi atribut file tambahan

 _{Memungkinkan file yang akan berhubungan dengan}

aplikasi yang berbeda

Anda hanya dapat memberitahu apakah berkas

NTFS Compressed Files

 NTFS menyediakan kompresi mirip dengan FAT

DriveSpace 3

 _{Dalam NTFS, file, folder, atau seluruh volume dapat}

dikompresi

 _{Kebanyakan alat forensik komputer dapat}

NTFS Encrypting File System (EFS)

 Menerapkan metode kunci publik dan swasta kunci

file enkripsi, folder, atau volume disk

 _{EFS digunakan pada Windows Vista Business}

Edition atau lebih tinggi, XP Professional, atau 2000,

 Sebuah sertifikat yang pemulihan dikirim ke account

administrator lokal Windows

 _{Pengguna dapat menerapkan EFS untuk file yang}

EFS Recovery Key Agent

 Pemulihan kunci agen mengimplementasikan

sertifikat pemulihan

 Yang ada di dalam windows administrator account

 _{Windows administrator dapat memulihkan kunci}

dalam dua cara: melalui Windows atau dari MS DOS command prompt

 _{MS-DOS commands}

 Chiper

 Copy

Deleting NTFS Files

 Ketika file dihapus di Windows XP, 2000, atau NT

 OS mengganti nama itu dan bergerak ke Recycle Bin

 Dapat menggunakan Del (delete) MS-DOS command

 Untuk menghapus file dari daftar MFT sama dengan cara

Pemahaman Seluruh Enkripsi Disk

 _{Dalam beberapa tahun terakhir, ada lebih}

banyak kekhawatiran tentang hilangnya

 Identitas pribadi informasi ( pii ) dan perdagangan

rahasia yang disebabkan oleh pencurian komputer  _{Perhatian khusus adalah pencurian laptop}

komputer dan perangkat genggam lainnya

 Untuk membantu mencegah hilangnya

Pemahaman Seluruh Enkripsi Disk

 _{Saat ini seluruh alat enkripsi disk menawarkan fitur berikut:}

 Preboot authentication

 Full atau parsial enkripsi disk dengan mengamankan hibernasi  Enkripsi algoritma yg lebih maju

 Fungsi key management

 Sebuah Trusted Platform Module (TPM) microchip untuk menghasilkan kunci dan pembuatan sandi mengotentikasi login

 Disk keseluruhan pembuatan sandi menyandikan alat-alat masing-masing sektor sebuah drive secara terpisah

 Banyak dari alat-alat ini menyandikan drives sektor boot

 Untuk mencegah salah satu upaya untuk memotong yang dijamin drive partisi

 Untuk memeriksa sebuah drive, terenkripsi pertama pecahkan sandinya

 Menjalankan sebuah program vendor-specific tersebut untuk memecahkan

Memeriksa dari pihak ketiga alat-alat Enkripsi Disk

 Beberapa wde utilities tersedia pihak ketiga:

 PGP Whole Disk Encryption

 Voltage SecureDisk

 Utimaco SafeGuard Easy

 Jetico BestCrypt Volume Encryption

 SoftWinter Sentry 2020 for Windows XP

 _{Beberapa alat enkripsi open source yg tersedia:}

 TrueCrypt

 CrossCrypt

Memahami Windows Regestry

 Registry

 Database yang menyimpan informasi, konfigurasi hardware

dan software koneksi jaringan, pilihan pengguna, dan informasi sudah selesai

 Untuk tujuan investigasi, registri dapat berisi bukti

berharga

 _{Untuk melihat registry, anda bisa menggunakan :}

 Regedit (Registry Editor) program for Windows 9x systems

Menjelajahi organisasi Windows Registry

 Terminologi registry

 Registry

 Registry Editor

 HKEY

 Key

 Subkey

 Branch

 Value

 Default value

Memeriksa Windows Registry

 Use ProDiscover Basic to extract System.dat and

Memeriksa Windows Registry

Memahami tugas-tugas startup microsoft

 Belajar berkas apa saja yang diakses ketika Windows

dimulai

 _{Informasi ini membantu Anda menentukan ketika}

komputer tersangka terakhir diakses

 Penting dengan komputer yang mungkin telah digunakan

Startup pada Windows NT and Later

 Semua komputer NTFS melakukan langkah-langkah

berikut ketika komputer dihidupkan:  Power-on self test (POST)

 Initial startup

 Boot loader

 Hardware detection and configuration

 Kernel loading

Startup pada Windows NT and Later

 Startup Files untuk Windows XP:

 NT Loader (NTLDR)

 Boot.ini

Startup pada Windows NT and Later

 Kontaminasi keprihatinan dengan windows xp

 Ketika anda memulai sebuah windows xp ntfs workstation,

beberapa file langsung mengakses

 Akses terakhir tanggal dan waktu cap untuk file perubahan arus

tanggal dan waktu

 Menghancurkan setiap bukti potensial

 Yang menunjukkan kapan sebuah workstation Windows XP

Startup pada Windows 9x/Me

 Sistem file di Windows 9 x / Me berisi informasi

berharga dapat diubah dengan mudah startup

 _{Windows 9x and Windows Me memiliki proses boot}

yg sama

 Dengan Windows Me anda tidak bisa boot pada mode

MS-DOS yg benar

 _{Windows 9x OS memiliki 2 mode:}

 DOS protected-mode interface (DPMI)

Startup pada Windows 9x/Me

 File sistem yang digunakan oleh Windows 9 x

memiliki asal mereka di MS-DOS 6.22

 IO.sys berkomunikasi antara komputer BIOS, perangkat keras

dan OS kernel

 Jika F8 ditekan startup, Io.sys load Windows Startup menu

 MSDOS.sys adalah file teks tersembunyi yang berisi pilihan

startup Windows 9 x

 Command.com memberikan perintah untuk ms-dos prompt

Memahami MS-DOS Startup Tasks

 Dua file digunakan untuk mengkonfigurasi MS-DOS

pada startup :

 Config.sys : File teks berisi perintah yang biasanya dijalankan

hanya pada sistem startup untuk meningkatkan % u2019s DOS konfigurasi komputer

 Autoexec.bat : Batch file berisi penyesuaian pengaturan untuk

MS-DOS yang berjalan secara otomatis

 _{IO.sys adalah file pertama dimuat setelah ROM}

Memahami MS-DOS Startup Tasks

 MSDOS.sys adalah kedua program untuk me-load ke

dalam RAM segera setelah Io.sys

 Kelihatannya untuk file Config.sys untuk mengkonfigurasi

driver perangkat dan pengaturan lain

 Msdos.sys kemudian me-load Command.com  Seperti pemuatan Command.com mendekati

Disk Operating Systems Lain

 Control Program for Microprocessors (CP/M)

 Nonspecific microcomputer OS pertama

 Diciptakan oleh Digital Research pada 1970

 8-inch floppy drives; tidak mendukung untuk hard drives

 Digital Research Disk Operating System (DR-DOS)

 Dikembangkan pada tahun 1988 untuk bersaing dengan ms-dos

 Digunakan fat12 dan fat16 dan mempunyai sebuah lebih kaya

lingkungan perintah

Personal Computer Disk Operating System (PC-DOS)

 Diciptakan oleh Microsoft dibawah kontrak untuk IBM

Memahami Virtual Machines

 Virtual machine

 Memungkinkan Anda untuk membuat representasi dari

komputer lain pada komputer fisik yang ada

 _{Mesin virtual adalah hanya beberapa file pada hard}

drive Anda

 Harus mengalokasikan untuk mesin virtual

 Mesin virtual mengakui komponen fisik mesin itu

dimuat

Memahami Virtual Machines

 In computer forensics

 Mesin virtual membuatnya mungkin untuk memulihkan drive

tersangka pada mesin virtual Anda

 Dan menjalankan perangkat lunak tidak standar tersangka

mungkin telah dimuat

 _{Dari sudut pandang forensik jaringan, Anda perlu}

menyadari beberapa potensi masalah, seperti :

 Sebuah virtual mesin yang digunakan untuk menyerang sistem

Membuat sebuah Virtual Machine

 Ada aplikasi populer untuk membuat virtual

machine

 VMware dan Microsoft Virtual PC

 _{Menggunakan virtual pc}

Membuat sebuah Virtual Machine

 Anda membutuhkan sebuah gambar ISO dari sebuah

OS

 Karena tidak ada oss yang disediakan dengan pc virtual

 _{Pc virtual menciptakan dua file untuk setiap mesin}

virtual:

 Sebuah .vhd file, yg merupakan actual virtual hard disk

 Sebuah .vmc file, Yang melacak konfigurasi yang anda buat

untuk disk tersebut

 _{Melihat apa jenis mesin fisik mesin virtual Anda}

berpikir itu menjalankan

Ringkasan

 Ketika booting komputer tersangka, menggunakan

media boot, seperti forensik boot floppy atau CD, Anda harus memastikan bahwa disk bukti tidak diubah

 _{Master Boot Record (MBR) menyimpan informasi}

tentang partisi pada disk

 Microsoft digunakan fat12 dan fat16 pada sistem

operasi yang lebih tua

 Untuk menemukan hard disk kapasitas, gunakan

silinder, kepala, dan sektor (CHS) perhitungan

 _{Ketika file dihapus dalam sistem berkas FAT, huruf}

Ringkasan

 Sistem File teknologi baru (NTFS) lebih serbaguna karena

menggunakan Master File tabel (alat) untuk melacak informasi file

 Dalam NTFS, aliran data dapat mengaburkan informasi yang

mungkin memiliki nilai pembuktian

 Mempertahankan perpustakaan sistem operasi yang lebih tua dan

aplikasi

 NTFS dapat mengenkripsi data dengan EFS dan BitLocker  _{Ntfs bisa kompres file, folder, atau volume}

 _{Windows Registry menyimpan catatan perangkat keras yang}

terpasang, preferensi pengguna, koneksi jaringan dan perangkat lunak yang diinstal

 _{Mesin virtual yang memungkinkan Anda untuk menjalankan OS lain}