Computer Forensic
By Joko Purwanto
Pada tulisan ini akan dijelaskan metode untuk mengidentifikasi identitas suatu komputer, yang mana merupakan sebagai bagian dalam proses kegiatanForensik Digital. Identifikasi dilakukan terhadap komputer yang menggunakan sistem operasi windows, karena memang pengguna komputer kebanyakaan saat ini menggunakan sistem operasi windows. Proses identifikasi tidak menggunakan aplikasi dari pihak ketiga, namun menggunakan fitur yang memang sudah disediakan oleh windows, yaitu Command Prompt.
1. Buka Command Prompt Sebagai Administrator
Perbedaan Command Prompt yang dijalankan sebagai administrator dan yang bukan adalah pada Title Bar terdapat tulisan Administrator: Command Prompt, disamping itu juga, folder yang dibuka secara otomatis adalah C:\WINDOWS\system32>
Gambar 1. Command Prompt
2. Identifikasi waktu yang berjalan pada sistem operasi windows
Tuliskan perintah pada Command Prompt yaitu date /t & time /t
Gambar 2. Waktu Sistem
3. Identifikasi Nama Account pada sistem operasi windows
Tuliskan perintah pada Command Prompt yaitu net users
Dalam proses forensik, identifikasi nama account perlu dilakukan untuk mengetahui ada tidaknya account yang mencurigakan
Gambar 3. Nama Account
4. Identifikasi Hostname
Perintah hostname digunakan untuk mendapatkan nama komputer yang telah di daftarkan pada network
Tuliskan perintah pada Command Prompt yaitu hostname
Gambar 4. Hostname
Selain menggunakan perintah hostname, anda juga dapat menggunakan perintah whoami /all
Gambar 5. whoami /all
5. Mengidentifikasi SID Account
Setiap account pada sistem operasi windows mempunyai ID, hal tersebut dinamakan SID
Tuliskan perintah pada Command Prompt yaitu wmic useraccount get name,sid
Gambar 6. SID Acoount
6. Identifikasi Waktu Sistem Reboot
Tuliskan perintah pada Command Prompt yaitu systeminfo |find /I “boot time”
Gambar 7. Waktu Sistem Reboot
7. Identifikasi File System
Tuliskan perintah pada Command Prompt yaitu fsutil fsinfo volumeinfo c:
Gambar 8. File System
8. Identifikasi file system NTFS
Tuliskan perintah pada Command Prompt yaitu fsutil fsinfo ntfsinfo c:
Gambar 9. Informasi File System NTFS
9. Identifikasi perintah yang pernah dijalankan pada Command Prompt
Tuliskan perintah pada Command Prompt yaitu doskey /history
Gambar 10. History Command Prompt
Demikian cara mengidentifikasi identitas komputer yang menggunakan sistem operasi windows dan memanfaatkan fitur Command Prompt, tanpa menggunakan aplikasi forensik dari pihak ketiga. Ini hanya sebagai salah satu metode pembelajaran untuk melakukan live response forensic sendiri, apabila anda tidak memiliki Tools untuk belajar Forensik Digital. Metode ini mengambil referensi dari buku berjudul Belajar Otodidak Windows Forensic karya Prof.Dr.Sarjon Defit,S.Kom,MSc. Dan Efvy Zamidra Zam, M.Kom., MPM. Command Prompt pada sistem operasi Windows tidak menyediakan semua tools untuk melakukan proses forensik, oleh karena itu anda bisa mendownload beberapa tools dari Sysinternals. Salah satunya adalah PSTools dan LogonSessions, anda bisa download pada link https://download.sysinternals.com/files/PSTools.zip dan https://download.sysinternals.com/files/LogonSessions.zip
Tidak ada komentar:
Posting Komentar