[ Tutorial ] Windows Analysis Forensics | Mencari kegiatan-kegiatan file pengguna

Hallo teman-teman researcher kali ini saya ingin berbagi dari apa yang telah sedikit saya pelajari yaitu tentang Windows Analysis Forensics; lingkupnya lebih kepada seputar aktifitas pengguna komputer itu sendiri.

Nah, disini terdapat sebuah contoh kasus yakni :

Terdapat pegawai yang telah meng-unduh sebuah software aplikasi yang menyebabkan penggunaan komputer tersebut menjadi terganggu diantaranya, akan tetapi pengguna tersebut lupa bahwa telah meng-unduh file tersebut bahkan lupa menaruh filenya dimana;

1. Ketika menjalankan sebuah aplikasi menjadikan komputer berat/lag bahkan force close.
2. Sebuah file dokumen yang tiba-tiba hilang tanpa diketahui sebabnya, akankah terindikasi sebuah virus?

Saya asumsikan aplikasi penyebab permasalahan diatas adalah software Havij 1.12 yang ia download dari salah satu website ‘anonim’ tanpa mengecek terlebih dahulu di virus total apakah file tersebut terindikasi mengandung virus-virus atau tidak; https://www.virustotal.com

Tahapan-tahapan didalam menganalisisnya :

Hasil analisisnya adalah sebagai berikut :

Aplikasi yang digunakan diantaranya sbb

1. Nir Launcher

Tools yang digunakan sbb

1.1 Browsing History View

1.2 Last Activity View

Langkah [1]

Membuka kegiatan browsing terakhir yang dilakukan oleh user menggunakan Browsing History View

Tools Browsing History View

Nah dapat diketahui bahwa si pengguna pernah melakukan download dalam salah satu website, ia mendownload aplikasi havij

Tools Last Activity View

Selanjutnya, untuk mengetahui letak havij tersebut bisa diselidiki dengan tools diatas dan dapat diketahui si pengguna kemungkinan menaruh file havij tersebut di direktori /Exploit/Downloads/tools pentest

Nah, maka ditemukan file tersebut tepat didalam direktori tersebut

— Semoga bermanfaat !

Facebook : https://facebook.com/danangtriatmj