Bekerja dengan sistem windows dan DOS 2
Bekerja dengan sistem
windows dan DOS
NAMA KELOMPOK :
Tujuan
Menjelaskan tujuan dan struktur file sistem
Menjelaskan struktur berkas pada Microsoft
Jelaskan struktur New Technology File System
(NTFS) disk
Daftar beberapa pilihan untuk mendekripsi drive
dienkripsi dengan enkripsi seluruh disk
Memahami sistem berkas
file system
Memberikan OS peta jalan untuk data pada disk
Jenis file sistem OS menggunakan menentukan
bagaimana data disimpan pada disk
Sebuah sistem berkas biasanya langsung
berhubungan dengan OS
Bila Anda perlu mengakses komputer tersangka
untuk memperoleh atau memeriksa data yang
Anda harus terbiasa dengan platform komputer
Memahami Urutan Booting
Complementary Metal Oxide Semiconductor (CMOS)
komputer menyimpan konfigurasi sistem ,tanggal dan informasi
waktu di CMOS (Jika power dimatikan)
Basic Input / Output System (BIOS)
Berisi program yang melakukan input dan output pada tingkat
hardware
Bootstrap process
Berada dalam ROM, memberitahu komputer bagaimana untuk
melanjutkan Menampilkan kunci atau Anda menekan tombol
untuk membuka layar setup CMOS
CMOS harus diubah untuk melakukan booting dari disket atau
CD
Memahami Disk Drives
Disk drive terdiri dari satu atau lebih piringan dilapisi
dengan bahan magnetik, Komponen disk
geometri
kepala
trek
silinder
sektor
Properti yang ditangai di harddrive atau tingkat firmware
Rekaman bit Zone (ZBR)
melacak kepadatan
Densitas
Head and cylinder skew
Struktur berkas pada microsoft
Kelompok yang diberi nomor berurutan mulai dari 2
Sektor pertama dari semua disk berisi area sistem,
boot record, dan database struktur file
OS memberikan angka-angka klaster, yang disebut
alamat logis
Nomor sektor disebut alamat fisik
Cluster dan alamat adalah logika khusus pada partisi
harddisk
Partisi disk
Partisi adalah drive logis
FAT16 tidak mengenali disk lebih besar dari 2 MB
(disk yang besar harus dipartisi)
Partisi tersembunyi atau void (Kesenjangan yang
besar antara yang tidak terpakai dengan partisi yang
terpakai)
kesenjangan pada partisi (Ruang yang tidak terpakai
antara partisi)
Master Boot Record
Pada Windows dan sistem komputer DOS Boot disk
berisi file bernama Master Boot Record (MBR)
MBR menyimpan informasi tentang partisi pada
disk dan lokasi mereka, ukuran, dan informasi
penting lainnya
Beberapa produk perangkat lunak dapat
memodifikasi MBR, seperti Partition Magic
Ukuran cluster pada FAT 16 bervariasi sesuai dengan ukuran hard
disk dan sistem file
• Microsoft OS mengalokasikan ruang disk untuk file dengan cluster
Hasil di letakkan pada drive slack
• Ruang yang tidak digunakan dalam sebuah cluster antara akhir dari file
aktif dan akhir cluster
Deleting FAT Files
Dalam Microsoft OS, ketika file dihapus
o Direktori entri ditandai sebagai file yang dihapus
Dengan HEX E5 (σ) karakter menggantikan huruf
pertama dari nama file
o Rantai FAT untuk file itu diatur ke 0
Data dalam file tersebut tetap pada disk drive
Area disk dimana file yang dihapus berada menjadi
ruang disk yang tidak terisi (unallocated disk
space)
NTFS DISK
New Technology File System (NTFS)
Diperkenalkan dengan Windows NT
Sistem file utama untuk Windows Vista
Perbaikan atas sistem berkas FAT
NTFS menyediakan informasi lebih lanjut tentang file
NTFS memberikan kontrol lebih besar atas file dan folder
NTFS adalah langkah Microsoft terhadap perbaikan sistem file
Dalam NTFS, segala sesuatu yang ditulis ke disk dianggap file
Pada disk NTFS
NTFS juga menggunakan Unicode (Sebuah format data
internasional)
MFT Attributes files
Dalam NTFS MFT Semua file dan folder yang
disimpan dalam catatan terpisah 1024 byte masingmasing
Setiap record berisi file atau folder informasi,
Informasi ini dibagi menjadi bidang catatan berisi
metadata
Sebuah catatan lapangan disebut sebagai atribut ID
File atau folder informasi biasanya disimpan dalam
salah satu dari dua cara dalam catatan MFT:
Resident dan nonresident
MFT and File Attributes
File yang lebih besar dari 512 byte disimpan di luar
MFT
Catatan MFT menyediakan alamat klaster di mana
file tersebut disimpan pada partisi drive
Disebut sebagai data berjalan
Setiap record MFT dimulai dengan sundulan
mengidentifikasi sebagai atribut penduduk atau
bukan penduduk
NTFS Data Streams
data stream
Data dapat ditambahkan ke file yang sudah ada
Dapat mengaburkan Data pembuktian berharga,
sengaja atau kebetulan
Dalam NTFS, aliran data menjadi atribut file tambahan
Memungkinkan file yang akan berhubungan dengan
aplikasi yang berbeda
Anda hanya dapat memberitahu apakah berkas
memiliki aliran data terpasang dengan memeriksa
bahwa file MFT entri
NTFS Compressed Files
NTFS menyediakan kompresi mirip dengan FAT
DriveSpace 3
Dalam NTFS, file, folder, atau seluruh volume dapat
dikompresi
Kebanyakan alat forensik komputer dapat
uncompress dan menganalisa kompresi data
Windows
NTFS Encrypting File System (EFS)
Menerapkan metode kunci publik dan swasta kunci
file enkripsi, folder, atau volume disk
EFS digunakan pada Windows Vista Business
Edition atau lebih tinggi, XP Professional, atau
2000,
Sebuah sertifikat yang pemulihan dikirim ke account
administrator lokal Windows
Pengguna dapat menerapkan EFS untuk file yang
tersimpan pada workstation (lokal) atau server
EFS Recovery Key Agent
Pemulihan kunci agen mengimplementasikan
sertifikat pemulihan
Yang ada di dalam windows administrator account
Windows administrator dapat memulihkan kunci
dalam dua cara: melalui Windows atau dari MS DOS
command prompt
MS-DOS commands
Chiper
Copy
Efrecvr (digunakan untuk mendekripsi file EFS)
Deleting NTFS Files
Ketika file dihapus di Windows XP, 2000, atau NT
OS mengganti nama itu dan bergerak ke Recycle Bin
Dapat menggunakan Del (delete) MS-DOS command
Untuk menghapus file dari daftar MFT sama dengan cara
menghapus FAT
Pemahaman Seluruh Enkripsi Disk
Dalam beberapa tahun terakhir, ada lebih
banyak kekhawatiran tentang hilangnya
Identitas pribadi informasi ( pii ) dan perdagangan
rahasia yang disebabkan oleh pencurian komputer
Perhatian khusus adalah pencurian laptop
komputer dan perangkat genggam lainnya
Untuk membantu mencegah hilangnya
informasi, vendor perangkat lunak sekarang
menyediakan seluruh disk enkripsi
Pemahaman Seluruh Enkripsi Disk
Saat ini seluruh alat enkripsi disk menawarkan fitur berikut:
Preboot authentication
Full atau parsial enkripsi disk dengan mengamankan hibernasi
Enkripsi algoritma yg lebih maju
Fungsi key management
Sebuah Trusted Platform Module (TPM) microchip untuk
menghasilkan kunci dan pembuatan sandi mengotentikasi login
Disk keseluruhan pembuatan sandi menyandikan alat-alat masing-masing
sektor sebuah drive secara terpisah
Banyak dari alat-alat ini menyandikan drives sektor boot
Untuk mencegah salah satu upaya untuk memotong yang dijamin drive partisi
Untuk memeriksa sebuah drive, terenkripsi pertama pecahkan sandinya
Menjalankan sebuah program vendor-specific tersebut untuk memecahkan
drive
Memeriksa dari pihak ketiga alat-alat Enkripsi Disk
Beberapa wde utilities tersedia pihak ketiga:
PGP Whole Disk Encryption
Voltage SecureDisk
Utimaco SafeGuard Easy
Jetico BestCrypt Volume Encryption
SoftWinter Sentry 2020 for Windows XP
Beberapa alat enkripsi open source yg tersedia:
TrueCrypt
CrossCrypt
FreeOTFE
Memahami Windows Regestry
Registry
Database yang menyimpan informasi, konfigurasi hardware
dan software koneksi jaringan, pilihan pengguna, dan
informasi sudah selesai
Untuk tujuan investigasi, registri dapat berisi bukti
berharga
Untuk melihat registry, anda bisa menggunakan :
Regedit (Registry Editor) program for Windows 9x systems
Regedt32 for Windows 2000 and XP
Menjelajahi organisasi Windows Registry
Terminologi registry
Registry
Registry Editor
HKEY
Key
Subkey
Branch
Value
Default value
Hives
Menjelajahi organisasi Windows Registry
Memeriksa Windows Registry
Use ProDiscover Basic to extract System.dat and
User.dat from an image file
Memeriksa Windows Registry
Menggunakan daftar accessdata mereka untuk melihat
informasi apa yang dapat anda temukan di file ini
Memahami tugas-tugas startup microsoft
Belajar berkas apa saja yang diakses ketika Windows
dimulai
Informasi ini membantu Anda menentukan ketika
komputer tersangka terakhir diakses
Penting dengan komputer yang mungkin telah digunakan
setelah sebuah insiden dilaporkan
Startup pada Windows NT and Later
Semua komputer NTFS melakukan langkah-langkah
berikut ketika komputer dihidupkan:
Power-on self test (POST)
Initial startup
Boot loader
Hardware detection and configuration
Kernel loading
User logon
Startup pada Windows NT and Later
Startup Files untuk Windows XP:
NT Loader (NTLDR)
Boot.ini
BootSect.dos
NTDetect.com
NTBootdd.sys
Ntoskrnl.exe
Hal.dll
Pagefile.sys
Device drivers
Startup pada Windows NT and Later
Kontaminasi keprihatinan dengan windows xp
Ketika anda memulai sebuah windows xp ntfs workstation,
beberapa file langsung mengakses
Akses terakhir tanggal dan waktu cap untuk file perubahan arus
tanggal dan waktu
Menghancurkan setiap bukti potensial
Yang menunjukkan kapan sebuah workstation Windows XP
terakhir digunakan
Startup pada Windows 9x/Me
Sistem file di Windows 9 x / Me berisi informasi
berharga dapat diubah dengan mudah startup
Windows 9x and Windows Me memiliki proses boot
yg sama
Dengan Windows Me anda tidak bisa boot pada mode MSDOS yg benar
Windows 9x OS memiliki 2 mode:
DOS protected-mode interface (DPMI)
Protected-mode GUI
Startup pada Windows 9x/Me
File sistem yang digunakan oleh Windows 9 x
memiliki asal mereka di MS-DOS 6.22
IO.sys berkomunikasi antara komputer BIOS, perangkat keras
dan OS kernel
Jika F8 ditekan startup, Io.sys load Windows Startup menu
MSDOS.sys adalah file teks tersembunyi yang berisi pilihan
startup Windows 9 x
Command.com memberikan perintah untuk ms-dos prompt
ketika booting sedang mode ( dpmi )
Memahami MS-DOS Startup Tasks
Dua file digunakan untuk mengkonfigurasi MS-DOS
pada startup :
Config.sys : File teks berisi perintah yang biasanya dijalankan
hanya pada sistem startup untuk meningkatkan % u2019s DOS
konfigurasi komputer
Autoexec.bat : Batch file berisi penyesuaian pengaturan untuk
MS-DOS yang berjalan secara otomatis
IO.sys adalah file pertama dimuat setelah ROM
bootstrap loader menemukan disk drive
Memahami MS-DOS Startup Tasks
MSDOS.sys adalah kedua program untuk me-load ke
dalam RAM segera setelah Io.sys
Kelihatannya untuk file Config.sys untuk mengkonfigurasi
driver perangkat dan pengaturan lain
Msdos.sys kemudian me-load Command.com
Seperti pemuatan Command.com mendekati
penyelesaian, Msdos.sys mencari dan beban
Autoexec.bat
Disk Operating Systems Lain
Control Program for Microprocessors (CP/M)
Nonspecific microcomputer OS pertama
Diciptakan oleh Digital Research pada 1970
8-inch floppy drives; tidak mendukung untuk hard drives
Digital Research Disk Operating System (DR-DOS)
Dikembangkan pada tahun 1988 untuk bersaing dengan ms-dos
Digunakan fat12 dan fat16 dan mempunyai sebuah lebih kaya
lingkungan perintah
Personal Computer Disk Operating System (PC-DOS)
Diciptakan oleh Microsoft dibawah kontrak untuk IBM
PC-DOS bekerja banyak seperti MS-DOS
Memahami Virtual Machines
Virtual machine
Memungkinkan Anda untuk membuat representasi dari
komputer lain pada komputer fisik yang ada
Mesin virtual adalah hanya beberapa file pada hard
drive Anda
Harus mengalokasikan untuk mesin virtual
Mesin virtual mengakui komponen fisik mesin itu
dimuat
Os virtual dibatasi oleh mesin fisik os
Memahami Virtual Machines
In computer forensics
Mesin virtual membuatnya mungkin untuk memulihkan drive
tersangka pada mesin virtual Anda
Dan menjalankan perangkat lunak tidak standar tersangka
mungkin telah dimuat
Dari sudut pandang forensik jaringan, Anda perlu
menyadari beberapa potensi masalah, seperti :
Sebuah virtual mesin yang digunakan untuk menyerang sistem
lain atau jaringan
Membuat sebuah Virtual Machine
Ada aplikasi populer untuk membuat virtual
machine
VMware dan Microsoft Virtual PC
Menggunakan virtual pc
Anda harus downoad dan instal virtual pc trlebih dahulu
Membuat sebuah Virtual Machine
Anda membutuhkan sebuah gambar ISO dari sebuah
OS
Karena tidak ada oss yang disediakan dengan pc virtual
Pc virtual menciptakan dua file untuk setiap mesin
virtual:
Sebuah .vhd file, yg merupakan actual virtual hard disk
Sebuah .vmc file, Yang melacak konfigurasi yang anda buat
untuk disk tersebut
Melihat apa jenis mesin fisik mesin virtual Anda
berpikir itu menjalankan
Buka the Virtual PC Console, dan click Settings
Ringkasan
Ketika booting komputer tersangka, menggunakan
media boot, seperti forensik boot floppy atau CD,
Anda harus memastikan bahwa disk bukti tidak
diubah
Master Boot Record (MBR) menyimpan informasi
tentang partisi pada disk
Microsoft digunakan fat12 dan fat16 pada sistem
operasi yang lebih tua
Untuk menemukan hard disk kapasitas, gunakan
silinder, kepala, dan sektor (CHS) perhitungan
Ketika file dihapus dalam sistem berkas FAT, huruf
Yunani sigma (0x05) dimasukkan dalam karakter
Ringkasan
Sistem File teknologi baru (NTFS) lebih serbaguna karena
menggunakan Master File tabel (alat) untuk melacak informasi file
Dalam NTFS, aliran data dapat mengaburkan informasi yang
mungkin memiliki nilai pembuktian
Mempertahankan perpustakaan sistem operasi yang lebih tua dan
aplikasi
NTFS dapat mengenkripsi data dengan EFS dan BitLocker
Ntfs bisa kompres file, folder, atau volume
Windows Registry menyimpan catatan perangkat keras yang
terpasang, preferensi pengguna, koneksi jaringan dan perangkat
lunak yang diinstal
Mesin virtual yang memungkinkan Anda untuk menjalankan OS lain
dari komputer Windows
windows dan DOS
NAMA KELOMPOK :
Tujuan
Menjelaskan tujuan dan struktur file sistem
Menjelaskan struktur berkas pada Microsoft
Jelaskan struktur New Technology File System
(NTFS) disk
Daftar beberapa pilihan untuk mendekripsi drive
dienkripsi dengan enkripsi seluruh disk
Memahami sistem berkas
file system
Memberikan OS peta jalan untuk data pada disk
Jenis file sistem OS menggunakan menentukan
bagaimana data disimpan pada disk
Sebuah sistem berkas biasanya langsung
berhubungan dengan OS
Bila Anda perlu mengakses komputer tersangka
untuk memperoleh atau memeriksa data yang
Anda harus terbiasa dengan platform komputer
Memahami Urutan Booting
Complementary Metal Oxide Semiconductor (CMOS)
komputer menyimpan konfigurasi sistem ,tanggal dan informasi
waktu di CMOS (Jika power dimatikan)
Basic Input / Output System (BIOS)
Berisi program yang melakukan input dan output pada tingkat
hardware
Bootstrap process
Berada dalam ROM, memberitahu komputer bagaimana untuk
melanjutkan Menampilkan kunci atau Anda menekan tombol
untuk membuka layar setup CMOS
CMOS harus diubah untuk melakukan booting dari disket atau
CD
Memahami Disk Drives
Disk drive terdiri dari satu atau lebih piringan dilapisi
dengan bahan magnetik, Komponen disk
geometri
kepala
trek
silinder
sektor
Properti yang ditangai di harddrive atau tingkat firmware
Rekaman bit Zone (ZBR)
melacak kepadatan
Densitas
Head and cylinder skew
Struktur berkas pada microsoft
Kelompok yang diberi nomor berurutan mulai dari 2
Sektor pertama dari semua disk berisi area sistem,
boot record, dan database struktur file
OS memberikan angka-angka klaster, yang disebut
alamat logis
Nomor sektor disebut alamat fisik
Cluster dan alamat adalah logika khusus pada partisi
harddisk
Partisi disk
Partisi adalah drive logis
FAT16 tidak mengenali disk lebih besar dari 2 MB
(disk yang besar harus dipartisi)
Partisi tersembunyi atau void (Kesenjangan yang
besar antara yang tidak terpakai dengan partisi yang
terpakai)
kesenjangan pada partisi (Ruang yang tidak terpakai
antara partisi)
Master Boot Record
Pada Windows dan sistem komputer DOS Boot disk
berisi file bernama Master Boot Record (MBR)
MBR menyimpan informasi tentang partisi pada
disk dan lokasi mereka, ukuran, dan informasi
penting lainnya
Beberapa produk perangkat lunak dapat
memodifikasi MBR, seperti Partition Magic
Ukuran cluster pada FAT 16 bervariasi sesuai dengan ukuran hard
disk dan sistem file
• Microsoft OS mengalokasikan ruang disk untuk file dengan cluster
Hasil di letakkan pada drive slack
• Ruang yang tidak digunakan dalam sebuah cluster antara akhir dari file
aktif dan akhir cluster
Deleting FAT Files
Dalam Microsoft OS, ketika file dihapus
o Direktori entri ditandai sebagai file yang dihapus
Dengan HEX E5 (σ) karakter menggantikan huruf
pertama dari nama file
o Rantai FAT untuk file itu diatur ke 0
Data dalam file tersebut tetap pada disk drive
Area disk dimana file yang dihapus berada menjadi
ruang disk yang tidak terisi (unallocated disk
space)
NTFS DISK
New Technology File System (NTFS)
Diperkenalkan dengan Windows NT
Sistem file utama untuk Windows Vista
Perbaikan atas sistem berkas FAT
NTFS menyediakan informasi lebih lanjut tentang file
NTFS memberikan kontrol lebih besar atas file dan folder
NTFS adalah langkah Microsoft terhadap perbaikan sistem file
Dalam NTFS, segala sesuatu yang ditulis ke disk dianggap file
Pada disk NTFS
NTFS juga menggunakan Unicode (Sebuah format data
internasional)
MFT Attributes files
Dalam NTFS MFT Semua file dan folder yang
disimpan dalam catatan terpisah 1024 byte masingmasing
Setiap record berisi file atau folder informasi,
Informasi ini dibagi menjadi bidang catatan berisi
metadata
Sebuah catatan lapangan disebut sebagai atribut ID
File atau folder informasi biasanya disimpan dalam
salah satu dari dua cara dalam catatan MFT:
Resident dan nonresident
MFT and File Attributes
File yang lebih besar dari 512 byte disimpan di luar
MFT
Catatan MFT menyediakan alamat klaster di mana
file tersebut disimpan pada partisi drive
Disebut sebagai data berjalan
Setiap record MFT dimulai dengan sundulan
mengidentifikasi sebagai atribut penduduk atau
bukan penduduk
NTFS Data Streams
data stream
Data dapat ditambahkan ke file yang sudah ada
Dapat mengaburkan Data pembuktian berharga,
sengaja atau kebetulan
Dalam NTFS, aliran data menjadi atribut file tambahan
Memungkinkan file yang akan berhubungan dengan
aplikasi yang berbeda
Anda hanya dapat memberitahu apakah berkas
memiliki aliran data terpasang dengan memeriksa
bahwa file MFT entri
NTFS Compressed Files
NTFS menyediakan kompresi mirip dengan FAT
DriveSpace 3
Dalam NTFS, file, folder, atau seluruh volume dapat
dikompresi
Kebanyakan alat forensik komputer dapat
uncompress dan menganalisa kompresi data
Windows
NTFS Encrypting File System (EFS)
Menerapkan metode kunci publik dan swasta kunci
file enkripsi, folder, atau volume disk
EFS digunakan pada Windows Vista Business
Edition atau lebih tinggi, XP Professional, atau
2000,
Sebuah sertifikat yang pemulihan dikirim ke account
administrator lokal Windows
Pengguna dapat menerapkan EFS untuk file yang
tersimpan pada workstation (lokal) atau server
EFS Recovery Key Agent
Pemulihan kunci agen mengimplementasikan
sertifikat pemulihan
Yang ada di dalam windows administrator account
Windows administrator dapat memulihkan kunci
dalam dua cara: melalui Windows atau dari MS DOS
command prompt
MS-DOS commands
Chiper
Copy
Efrecvr (digunakan untuk mendekripsi file EFS)
Deleting NTFS Files
Ketika file dihapus di Windows XP, 2000, atau NT
OS mengganti nama itu dan bergerak ke Recycle Bin
Dapat menggunakan Del (delete) MS-DOS command
Untuk menghapus file dari daftar MFT sama dengan cara
menghapus FAT
Pemahaman Seluruh Enkripsi Disk
Dalam beberapa tahun terakhir, ada lebih
banyak kekhawatiran tentang hilangnya
Identitas pribadi informasi ( pii ) dan perdagangan
rahasia yang disebabkan oleh pencurian komputer
Perhatian khusus adalah pencurian laptop
komputer dan perangkat genggam lainnya
Untuk membantu mencegah hilangnya
informasi, vendor perangkat lunak sekarang
menyediakan seluruh disk enkripsi
Pemahaman Seluruh Enkripsi Disk
Saat ini seluruh alat enkripsi disk menawarkan fitur berikut:
Preboot authentication
Full atau parsial enkripsi disk dengan mengamankan hibernasi
Enkripsi algoritma yg lebih maju
Fungsi key management
Sebuah Trusted Platform Module (TPM) microchip untuk
menghasilkan kunci dan pembuatan sandi mengotentikasi login
Disk keseluruhan pembuatan sandi menyandikan alat-alat masing-masing
sektor sebuah drive secara terpisah
Banyak dari alat-alat ini menyandikan drives sektor boot
Untuk mencegah salah satu upaya untuk memotong yang dijamin drive partisi
Untuk memeriksa sebuah drive, terenkripsi pertama pecahkan sandinya
Menjalankan sebuah program vendor-specific tersebut untuk memecahkan
drive
Memeriksa dari pihak ketiga alat-alat Enkripsi Disk
Beberapa wde utilities tersedia pihak ketiga:
PGP Whole Disk Encryption
Voltage SecureDisk
Utimaco SafeGuard Easy
Jetico BestCrypt Volume Encryption
SoftWinter Sentry 2020 for Windows XP
Beberapa alat enkripsi open source yg tersedia:
TrueCrypt
CrossCrypt
FreeOTFE
Memahami Windows Regestry
Registry
Database yang menyimpan informasi, konfigurasi hardware
dan software koneksi jaringan, pilihan pengguna, dan
informasi sudah selesai
Untuk tujuan investigasi, registri dapat berisi bukti
berharga
Untuk melihat registry, anda bisa menggunakan :
Regedit (Registry Editor) program for Windows 9x systems
Regedt32 for Windows 2000 and XP
Menjelajahi organisasi Windows Registry
Terminologi registry
Registry
Registry Editor
HKEY
Key
Subkey
Branch
Value
Default value
Hives
Menjelajahi organisasi Windows Registry
Memeriksa Windows Registry
Use ProDiscover Basic to extract System.dat and
User.dat from an image file
Memeriksa Windows Registry
Menggunakan daftar accessdata mereka untuk melihat
informasi apa yang dapat anda temukan di file ini
Memahami tugas-tugas startup microsoft
Belajar berkas apa saja yang diakses ketika Windows
dimulai
Informasi ini membantu Anda menentukan ketika
komputer tersangka terakhir diakses
Penting dengan komputer yang mungkin telah digunakan
setelah sebuah insiden dilaporkan
Startup pada Windows NT and Later
Semua komputer NTFS melakukan langkah-langkah
berikut ketika komputer dihidupkan:
Power-on self test (POST)
Initial startup
Boot loader
Hardware detection and configuration
Kernel loading
User logon
Startup pada Windows NT and Later
Startup Files untuk Windows XP:
NT Loader (NTLDR)
Boot.ini
BootSect.dos
NTDetect.com
NTBootdd.sys
Ntoskrnl.exe
Hal.dll
Pagefile.sys
Device drivers
Startup pada Windows NT and Later
Kontaminasi keprihatinan dengan windows xp
Ketika anda memulai sebuah windows xp ntfs workstation,
beberapa file langsung mengakses
Akses terakhir tanggal dan waktu cap untuk file perubahan arus
tanggal dan waktu
Menghancurkan setiap bukti potensial
Yang menunjukkan kapan sebuah workstation Windows XP
terakhir digunakan
Startup pada Windows 9x/Me
Sistem file di Windows 9 x / Me berisi informasi
berharga dapat diubah dengan mudah startup
Windows 9x and Windows Me memiliki proses boot
yg sama
Dengan Windows Me anda tidak bisa boot pada mode MSDOS yg benar
Windows 9x OS memiliki 2 mode:
DOS protected-mode interface (DPMI)
Protected-mode GUI
Startup pada Windows 9x/Me
File sistem yang digunakan oleh Windows 9 x
memiliki asal mereka di MS-DOS 6.22
IO.sys berkomunikasi antara komputer BIOS, perangkat keras
dan OS kernel
Jika F8 ditekan startup, Io.sys load Windows Startup menu
MSDOS.sys adalah file teks tersembunyi yang berisi pilihan
startup Windows 9 x
Command.com memberikan perintah untuk ms-dos prompt
ketika booting sedang mode ( dpmi )
Memahami MS-DOS Startup Tasks
Dua file digunakan untuk mengkonfigurasi MS-DOS
pada startup :
Config.sys : File teks berisi perintah yang biasanya dijalankan
hanya pada sistem startup untuk meningkatkan % u2019s DOS
konfigurasi komputer
Autoexec.bat : Batch file berisi penyesuaian pengaturan untuk
MS-DOS yang berjalan secara otomatis
IO.sys adalah file pertama dimuat setelah ROM
bootstrap loader menemukan disk drive
Memahami MS-DOS Startup Tasks
MSDOS.sys adalah kedua program untuk me-load ke
dalam RAM segera setelah Io.sys
Kelihatannya untuk file Config.sys untuk mengkonfigurasi
driver perangkat dan pengaturan lain
Msdos.sys kemudian me-load Command.com
Seperti pemuatan Command.com mendekati
penyelesaian, Msdos.sys mencari dan beban
Autoexec.bat
Disk Operating Systems Lain
Control Program for Microprocessors (CP/M)
Nonspecific microcomputer OS pertama
Diciptakan oleh Digital Research pada 1970
8-inch floppy drives; tidak mendukung untuk hard drives
Digital Research Disk Operating System (DR-DOS)
Dikembangkan pada tahun 1988 untuk bersaing dengan ms-dos
Digunakan fat12 dan fat16 dan mempunyai sebuah lebih kaya
lingkungan perintah
Personal Computer Disk Operating System (PC-DOS)
Diciptakan oleh Microsoft dibawah kontrak untuk IBM
PC-DOS bekerja banyak seperti MS-DOS
Memahami Virtual Machines
Virtual machine
Memungkinkan Anda untuk membuat representasi dari
komputer lain pada komputer fisik yang ada
Mesin virtual adalah hanya beberapa file pada hard
drive Anda
Harus mengalokasikan untuk mesin virtual
Mesin virtual mengakui komponen fisik mesin itu
dimuat
Os virtual dibatasi oleh mesin fisik os
Memahami Virtual Machines
In computer forensics
Mesin virtual membuatnya mungkin untuk memulihkan drive
tersangka pada mesin virtual Anda
Dan menjalankan perangkat lunak tidak standar tersangka
mungkin telah dimuat
Dari sudut pandang forensik jaringan, Anda perlu
menyadari beberapa potensi masalah, seperti :
Sebuah virtual mesin yang digunakan untuk menyerang sistem
lain atau jaringan
Membuat sebuah Virtual Machine
Ada aplikasi populer untuk membuat virtual
machine
VMware dan Microsoft Virtual PC
Menggunakan virtual pc
Anda harus downoad dan instal virtual pc trlebih dahulu
Membuat sebuah Virtual Machine
Anda membutuhkan sebuah gambar ISO dari sebuah
OS
Karena tidak ada oss yang disediakan dengan pc virtual
Pc virtual menciptakan dua file untuk setiap mesin
virtual:
Sebuah .vhd file, yg merupakan actual virtual hard disk
Sebuah .vmc file, Yang melacak konfigurasi yang anda buat
untuk disk tersebut
Melihat apa jenis mesin fisik mesin virtual Anda
berpikir itu menjalankan
Buka the Virtual PC Console, dan click Settings
Ringkasan
Ketika booting komputer tersangka, menggunakan
media boot, seperti forensik boot floppy atau CD,
Anda harus memastikan bahwa disk bukti tidak
diubah
Master Boot Record (MBR) menyimpan informasi
tentang partisi pada disk
Microsoft digunakan fat12 dan fat16 pada sistem
operasi yang lebih tua
Untuk menemukan hard disk kapasitas, gunakan
silinder, kepala, dan sektor (CHS) perhitungan
Ketika file dihapus dalam sistem berkas FAT, huruf
Yunani sigma (0x05) dimasukkan dalam karakter
Ringkasan
Sistem File teknologi baru (NTFS) lebih serbaguna karena
menggunakan Master File tabel (alat) untuk melacak informasi file
Dalam NTFS, aliran data dapat mengaburkan informasi yang
mungkin memiliki nilai pembuktian
Mempertahankan perpustakaan sistem operasi yang lebih tua dan
aplikasi
NTFS dapat mengenkripsi data dengan EFS dan BitLocker
Ntfs bisa kompres file, folder, atau volume
Windows Registry menyimpan catatan perangkat keras yang
terpasang, preferensi pengguna, koneksi jaringan dan perangkat
lunak yang diinstal
Mesin virtual yang memungkinkan Anda untuk menjalankan OS lain
dari komputer Windows