Intro to Windows Forensics
Hello there!
Kali ini kita akan sedikit mencoba melakukan digital forensic pada operating system yang paling banyak digunakan di dunia. Yap, Windows. Windows sendiri pada dasarnya dirancang untuk penggunaan yang menggunakan interface dengan minim penggunaan terminal. Lalu bagaimana cara melakukan forensik? Disini akan coba kita bahas 4 alat yang bisa dan biasa digunakan untuk keperluan forensik.
- Windows Task Manager
Windows task manager merupakan bawaan dari windows itu sendiri sehingga kamu tidak perlu melakukan instalasi atau requirement khusus untuk menggunakan windows task manager.
Kita dapat melakukan monitoring terhadap berbagai task yang berjalan pada operating system bahkan hingga cukup detail. Sebagai contoh ketika seseorang membuka google chrome dengan beberapa tab aktif maka akan muncul pada task manager detail penggunaan untuk setiap proses atau task yang berjalan di chrome tersebut. Dengan kata lain, satu program yang berjalan tidak selalu memiliki satu task, bahkan lebih. Maka dari itu pada menu Processes dapat dipantau penggunaan memory, cpu, disk, gpu, dan power usage.
Selain itu kita dapat melakukan monitoring dengan menggunakan menu Performance dan Resource Monitor.
Pada performance kita dapat melakukan pemantauan terhadap CPU kita secara umum seperti penggunaan CPU, memory, GPU, wifi, ethernet, dan disk. Sedangkan dengan resource monitor kita mampu melihat pendetailan performansi dari komputer. Sebagai contoh dari CPU, kita bisa melihat setiap proses yang ditandai dengan identifier PID memiliki status apa, sudah menggunakan CPU berapa banyak, deskripsi, penggunaan threads, dan lain sebagainya secara real time.
Hal menarik lainnya pada resource monitor adalah kita dapat monitoring pada bagian network seperti melihat TCP connection, address pengiriman untuk setiap proses, listening ports, dan lain sebagainya.
Jika kita ingin melihat pendetailan dari setiap processes maka dapat dilihat pada menu Details
Disini kita bisa melakukan monitoring untuk setiap proses atau PID bagaimana statusnya, user name, menggunakan berapa banyak memory, dan lain sebagainya. Selain itu kita juga bisa melihat pada menu Startup
Disini kita dapat mengatur proses proses mana yang akan berjalan ketika komputer dihidupkan. Sebagai contoh Microsoft Teams dan OpenVPN ternyata akan langsung dijalankan karena memiliki status Enable dengan impact yang High.
Bagian services pada task manager melakukan monitoring terkait tentang services yang berjalan dibelakang layar
2. Process Explorer
Process Explorer merupakan tool yang bisa di download dari sysinternal, bersifat freeware dan berasal dari Microsoft. Selain memiliki tugas yang sama seperti Task Manager, Process explorer menariknya adalah mampu melihat hingga ke detail Thread dan memiliki fitur unik yaitu Drag Over Window. Cukup menekan button yang bersimbol target lalu drag dan arahkan ke window dari proses yang berlangsung.
Di bagian bawah terdapat Type dan Name yang menandakan proses dengan PID yang memiliki private set dan working set sekian telah menggunakan dan membuka ‘library’ atau file file tersebut. Disini juga kita dapat melakukan task kill selayaknya windows task manager atau command prompt.
Untuk melihat detail thread, kamu bisa melihat properties dari suatu process.
TID menandakan Thread ID dan PID menandakan Process ID. Dari properties kita bisa melihat detail detail seperti pada gambar diatas, selain itu kita mampu mengatur permissions, kill, dan suspend.
3. RamMap
RAMMap juga merupakan freeware dari Microsoft, kamu bisa mengunduhnya dari systernal. RAMMap memberikan informasi detail namun terfokus pada Random Access Memory saja.
Pada RAMMap kamu bisa melihat pada RAM telah digunakan oleh apa saja dan dengan status mulai dari Active hingga Bad. Terdapat beberapa menu yang disediakan RAMMap seperti use count untuk melihat penggunaan RAM, processes untuk melihat detail proses, priority summary untuk melihat prioritas, physical pages yang memberikan info untuk tiap physical address, physical range memberikan informasi penggunaan untuk rentang physical address tertentu, file summary yang memberikan informasi mengenai suatu file pada path tertentu, dan file details yang memberikan informasi mendetail dari suatu file.
4. TCPView
Tool terakhir adalah TCPView. TCPView digunakan untuk melihat seluruh komunikasi yang terjadi di dalam internet entah yang akan dibuat, didestroy, maupun yang sedang menunggu di dalam operating system windows. Berikut adalah tampilan muka dari TCPView.
Pada dasarnya terdapat blok blok warna pada TCPView yaitu hijau, kuning, dan merah. warna hijau berarti packet sedang dibuat, warna merah menandakan packet data sedang dibuang atau didestroy, sedangkan warna kuning menandakan bahwa sedang mengantri entah untuk dibuat atau didestroy.
Baiklah mungkin sekian pengenalan dari 4 tool yang bisa digunakan untuk melakukan forensik pada operating system windows. Sekian dan stay curious!!
