N A M A K E L O M P O K :
Tujuan
Menjelaskan tujuan dan struktur file sistem Menjelaskan struktur berkas pada Microsoft
Jelaskan struktur New Technology File System
(NTFS) disk
Daftar beberapa pilihan untuk mendekripsi drive
Memahami sistem berkas
file system
Memberikan OS peta jalan untuk data pada disk Jenis file sistem OS menggunakan menentukan bagaimana data disimpan pada disk
Sebuah sistem berkas biasanya langsung
berhubungan dengan OS
Bila Anda perlu mengakses komputer tersangka
Memahami Urutan Booting
Complementary Metal Oxide Semiconductor (CMOS)
komputer menyimpan konfigurasi sistem ,tanggal dan informasi waktu di CMOS (Jika power dimatikan)
Basic Input / Output System (BIOS)
Berisi program yang melakukan input dan output pada tingkat hardware
Bootstrap process
Berada dalam ROM, memberitahu komputer bagaimana untuk melanjutkan Menampilkan kunci atau Anda menekan tombol untuk membuka layar setup CMOS
Memahami Disk Drives
Disk drive terdiri dari satu atau lebih piringan dilapisi dengan bahan magnetik, Komponen disk
geometri kepala trek
Properti yang ditangai di harddrive atau tingkat firmware
Rekaman bit Zone (ZBR) melacak kepadatan
Densitas
Struktur berkas pada microsoft
Kelompok yang diberi nomor berurutan mulai dari 2 Sektor pertama dari semua disk berisi area sistem,
boot record, dan database struktur file
OS memberikan angka-angka klaster, yang disebut
alamat logis
Nomor sektor disebut alamat fisik
Cluster dan alamat adalah logika khusus pada partisi
Partisi disk
Partisi adalah drive logis
FAT16 tidak mengenali disk lebih besar dari 2 MB
(disk yang besar harus dipartisi)
Partisi tersembunyi atau void (Kesenjangan yang
besar antara yang tidak terpakai dengan partisi yang terpakai)
kesenjangan pada partisi (Ruang yang tidak terpakai
Master Boot Record
Pada Windows dan sistem komputer DOS Boot disk
berisi file bernama Master Boot Record (MBR)
MBR menyimpan informasi tentang partisi pada
disk dan lokasi mereka, ukuran, dan informasi penting lainnya
Beberapa produk perangkat lunak dapat
Ukuran cluster pada FAT 16 bervariasi sesuai dengan ukuran hard disk dan sistem file
• Microsoft OS mengalokasikan ruang disk untuk file dengan cluster Hasil di letakkan pada drive slack
Deleting FAT Files
Dalam Microsoft OS, ketika file dihapus
o Direktori entri ditandai sebagai file yang dihapus Dengan HEX E5 (σ) karakter menggantikan huruf pertama dari nama file
o Rantai FAT untuk file itu diatur ke 0
Data dalam file tersebut tetap pada disk drive
Area disk dimana file yang dihapus berada menjadi
NTFS DISK
New Technology File System (NTFS)
Diperkenalkan dengan Windows NT Sistem file utama untuk Windows Vista
Perbaikan atas sistem berkas FAT
NTFS menyediakan informasi lebih lanjut tentang file
NTFS memberikan kontrol lebih besar atas file dan folder
NTFS adalah langkah Microsoft terhadap perbaikan sistem file Dalam NTFS, segala sesuatu yang ditulis ke disk dianggap file
Pada disk NTFS
NTFS juga menggunakan Unicode (Sebuah format data
MFT Attributes files
Dalam NTFS MFT Semua file dan folder yang
disimpan dalam catatan terpisah 1024 byte masing-masing
Setiap record berisi file atau folder informasi,
Informasi ini dibagi menjadi bidang catatan berisi metadata
Sebuah catatan lapangan disebut sebagai atribut ID File atau folder informasi biasanya disimpan dalam
MFT and File Attributes
File yang lebih besar dari 512 byte disimpan di luar
MFT
Catatan MFT menyediakan alamat klaster di mana
file tersebut disimpan pada partisi drive
Disebut sebagai data berjalan
Setiap record MFT dimulai dengan sundulan
NTFS Data Streams
data stream
Data dapat ditambahkan ke file yang sudah ada Dapat mengaburkan Data pembuktian berharga,
sengaja atau kebetulan
Dalam NTFS, aliran data menjadi atribut file tambahan
Memungkinkan file yang akan berhubungan dengan
aplikasi yang berbeda
Anda hanya dapat memberitahu apakah berkas
NTFS Compressed Files
NTFS menyediakan kompresi mirip dengan FAT
DriveSpace 3
Dalam NTFS, file, folder, atau seluruh volume dapat
dikompresi
Kebanyakan alat forensik komputer dapat
NTFS Encrypting File System (EFS)
Menerapkan metode kunci publik dan swasta kunci
file enkripsi, folder, atau volume disk
EFS digunakan pada Windows Vista Business
Edition atau lebih tinggi, XP Professional, atau 2000,
Sebuah sertifikat yang pemulihan dikirim ke account
administrator lokal Windows
Pengguna dapat menerapkan EFS untuk file yang
EFS Recovery Key Agent
Pemulihan kunci agen mengimplementasikan
sertifikat pemulihan
Yang ada di dalam windows administrator account
Windows administrator dapat memulihkan kunci
dalam dua cara: melalui Windows atau dari MS DOS command prompt
MS-DOS commands
Chiper
Copy
Deleting NTFS Files
Ketika file dihapus di Windows XP, 2000, atau NT
OS mengganti nama itu dan bergerak ke Recycle Bin
Dapat menggunakan Del (delete) MS-DOS command
Untuk menghapus file dari daftar MFT sama dengan cara
Pemahaman Seluruh Enkripsi Disk
Dalam beberapa tahun terakhir, ada lebih
banyak kekhawatiran tentang hilangnya
Identitas pribadi informasi ( pii ) dan perdagangan
rahasia yang disebabkan oleh pencurian komputer Perhatian khusus adalah pencurian laptop
komputer dan perangkat genggam lainnya
Untuk membantu mencegah hilangnya
Pemahaman Seluruh Enkripsi Disk
Saat ini seluruh alat enkripsi disk menawarkan fitur berikut:
Preboot authentication
Full atau parsial enkripsi disk dengan mengamankan hibernasi Enkripsi algoritma yg lebih maju
Fungsi key management
Sebuah Trusted Platform Module (TPM) microchip untuk menghasilkan kunci dan pembuatan sandi mengotentikasi login
Disk keseluruhan pembuatan sandi menyandikan alat-alat masing-masing sektor sebuah drive secara terpisah
Banyak dari alat-alat ini menyandikan drives sektor boot
Untuk mencegah salah satu upaya untuk memotong yang dijamin drive partisi
Untuk memeriksa sebuah drive, terenkripsi pertama pecahkan sandinya
Menjalankan sebuah program vendor-specific tersebut untuk memecahkan
Memeriksa dari pihak ketiga alat-alat Enkripsi Disk
Beberapa wde utilities tersedia pihak ketiga:
PGP Whole Disk Encryption
Voltage SecureDisk
Utimaco SafeGuard Easy
Jetico BestCrypt Volume Encryption
SoftWinter Sentry 2020 for Windows XP
Beberapa alat enkripsi open source yg tersedia:
TrueCrypt
CrossCrypt
Memahami Windows Regestry
Registry
Database yang menyimpan informasi, konfigurasi hardware
dan software koneksi jaringan, pilihan pengguna, dan informasi sudah selesai
Untuk tujuan investigasi, registri dapat berisi bukti
berharga
Untuk melihat registry, anda bisa menggunakan :
Regedit (Registry Editor) program for Windows 9x systems
Menjelajahi organisasi Windows Registry
Terminologi registry
Registry
Registry Editor
HKEY
Key
Subkey
Branch
Value
Default value
Memeriksa Windows Registry
Use ProDiscover Basic to extract System.dat and
Memeriksa Windows Registry
Memahami tugas-tugas startup microsoft
Belajar berkas apa saja yang diakses ketika Windows
dimulai
Informasi ini membantu Anda menentukan ketika
komputer tersangka terakhir diakses
Penting dengan komputer yang mungkin telah digunakan
Startup pada Windows NT and Later
Semua komputer NTFS melakukan langkah-langkah
berikut ketika komputer dihidupkan: Power-on self test (POST)
Initial startup
Boot loader
Hardware detection and configuration
Kernel loading
Startup pada Windows NT and Later
Startup Files untuk Windows XP:
NT Loader (NTLDR)
Boot.ini
Startup pada Windows NT and Later
Kontaminasi keprihatinan dengan windows xp
Ketika anda memulai sebuah windows xp ntfs workstation,
beberapa file langsung mengakses
Akses terakhir tanggal dan waktu cap untuk file perubahan arus
tanggal dan waktu
Menghancurkan setiap bukti potensial
Yang menunjukkan kapan sebuah workstation Windows XP
Startup pada Windows 9x/Me
Sistem file di Windows 9 x / Me berisi informasi
berharga dapat diubah dengan mudah startup
Windows 9x and Windows Me memiliki proses boot
yg sama
Dengan Windows Me anda tidak bisa boot pada mode
MS-DOS yg benar
Windows 9x OS memiliki 2 mode:
DOS protected-mode interface (DPMI)
Startup pada Windows 9x/Me
File sistem yang digunakan oleh Windows 9 x
memiliki asal mereka di MS-DOS 6.22
IO.sys berkomunikasi antara komputer BIOS, perangkat keras
dan OS kernel
Jika F8 ditekan startup, Io.sys load Windows Startup menu
MSDOS.sys adalah file teks tersembunyi yang berisi pilihan
startup Windows 9 x
Command.com memberikan perintah untuk ms-dos prompt
Memahami MS-DOS Startup Tasks
Dua file digunakan untuk mengkonfigurasi MS-DOS
pada startup :
Config.sys : File teks berisi perintah yang biasanya dijalankan
hanya pada sistem startup untuk meningkatkan % u2019s DOS konfigurasi komputer
Autoexec.bat : Batch file berisi penyesuaian pengaturan untuk
MS-DOS yang berjalan secara otomatis
IO.sys adalah file pertama dimuat setelah ROM
Memahami MS-DOS Startup Tasks
MSDOS.sys adalah kedua program untuk me-load ke
dalam RAM segera setelah Io.sys
Kelihatannya untuk file Config.sys untuk mengkonfigurasi
driver perangkat dan pengaturan lain
Msdos.sys kemudian me-load Command.com Seperti pemuatan Command.com mendekati
Disk Operating Systems Lain
Control Program for Microprocessors (CP/M)
Nonspecific microcomputer OS pertama
Diciptakan oleh Digital Research pada 1970
8-inch floppy drives; tidak mendukung untuk hard drives
Digital Research Disk Operating System (DR-DOS)
Dikembangkan pada tahun 1988 untuk bersaing dengan ms-dos
Digunakan fat12 dan fat16 dan mempunyai sebuah lebih kaya
lingkungan perintah
Personal Computer Disk Operating System (PC-DOS)
Diciptakan oleh Microsoft dibawah kontrak untuk IBM
Memahami Virtual Machines
Virtual machine
Memungkinkan Anda untuk membuat representasi dari
komputer lain pada komputer fisik yang ada
Mesin virtual adalah hanya beberapa file pada hard
drive Anda
Harus mengalokasikan untuk mesin virtual
Mesin virtual mengakui komponen fisik mesin itu
dimuat
Memahami Virtual Machines
In computer forensics
Mesin virtual membuatnya mungkin untuk memulihkan drive
tersangka pada mesin virtual Anda
Dan menjalankan perangkat lunak tidak standar tersangka
mungkin telah dimuat
Dari sudut pandang forensik jaringan, Anda perlu
menyadari beberapa potensi masalah, seperti :
Sebuah virtual mesin yang digunakan untuk menyerang sistem
Membuat sebuah Virtual Machine
Ada aplikasi populer untuk membuat virtual
machine
VMware dan Microsoft Virtual PC
Menggunakan virtual pc
Membuat sebuah Virtual Machine
Anda membutuhkan sebuah gambar ISO dari sebuah
OS
Karena tidak ada oss yang disediakan dengan pc virtual
Pc virtual menciptakan dua file untuk setiap mesin
virtual:
Sebuah .vhd file, yg merupakan actual virtual hard disk
Sebuah .vmc file, Yang melacak konfigurasi yang anda buat
untuk disk tersebut
Melihat apa jenis mesin fisik mesin virtual Anda
berpikir itu menjalankan
Ringkasan
Ketika booting komputer tersangka, menggunakan
media boot, seperti forensik boot floppy atau CD, Anda harus memastikan bahwa disk bukti tidak diubah
Master Boot Record (MBR) menyimpan informasi
tentang partisi pada disk
Microsoft digunakan fat12 dan fat16 pada sistem
operasi yang lebih tua
Untuk menemukan hard disk kapasitas, gunakan
silinder, kepala, dan sektor (CHS) perhitungan
Ketika file dihapus dalam sistem berkas FAT, huruf
Ringkasan
Sistem File teknologi baru (NTFS) lebih serbaguna karena
menggunakan Master File tabel (alat) untuk melacak informasi file
Dalam NTFS, aliran data dapat mengaburkan informasi yang
mungkin memiliki nilai pembuktian
Mempertahankan perpustakaan sistem operasi yang lebih tua dan
aplikasi
NTFS dapat mengenkripsi data dengan EFS dan BitLocker Ntfs bisa kompres file, folder, atau volume
Windows Registry menyimpan catatan perangkat keras yang
terpasang, preferensi pengguna, koneksi jaringan dan perangkat lunak yang diinstal
Mesin virtual yang memungkinkan Anda untuk menjalankan OS lain