Tools untuk Monitoring and Forensics pada Windows

Tugas II4033 Forensik Digital

Elisabeth Levana 18218032

Monitoring

Proses monitoring dilakukan untuk melakukan traceback dan mengetahui apa yang terjadi sebenarnya, mencegah adanya serangan terhadap sistem keamanan jaringan. Berikut beberapa tools yang dapat digunakan:

1. Task Manager

Task Manager adalah sistem untuk monitoring proses apa saja yang sedang di-run oleh aplikasi yang sedang berjalan pada komputer, merupakan bawaan sistem operasi Windows.

Requirement:

• Operating System: Windows

Tutorial penggunaan:

• Klik kanan pada taskbar dan pilih task manager atau dapat dengan menggunakan shortcut Ctrl-Shift-Esc
• Pada bagian processes, kita bisa melihat berapa banyak aplikasi yang sedang berjalan, dan berapa banyak proses yang berjalan di belakang aplikasi tersebut. Pada gambar di bawah ini contohnya, terdapat aplikasi Firefox yang sedang berjalan, dan terdapat 7 proses yang berjalan di belakangnya. Setiap proses tersebut menggunakan cpu, memory, disk, network dan GPU yang berbeda.

• Jika masuk bagian details, akan terdapat PID yang merupakan process identifier/nomor unik dari setiap proses yang berjalan. Bagian ini akan mendetailkan semua proses yang berjalan

• Pada bagian performance, kita dapat melihat performansi dari komputer seperti CPU, memory, hard disk yang digunakan termasuk USB yang sedang dipasang, internet (Ethernet dan Wi-Fi) serta GPU

• Pada bagian Startup, kita bisa melihat aplikasi apa saja yang akan berjalan ketika komputer kita hidup. Contohnya pada gambar di bawah, aplikasi Cisco Webex Meetings memiliki status enabled, sehingga artinya aplikasi tersebut akan otomatis terbuka ketika komputer dihidupkan, tanpa harus kita buka.

• Pada bagian Services, kita bisa melihat list dari suatu hal yang bekerja di belakang layar. Dari sini kita dapat melihat service tersebut, beserta PID, deskripsi, status dan masuk ke dalam group apa. Ketika ada aplikasi yang ter-install, maka akan secara otomatis menjalankan service-nya.

2. Process Explorer

Process Explorer memiliki kegunaan yang hampir mirip dengan task manager, merupakan software yang dapat menelusuri masalah DLL (Dynamic Link Library) atau mengatasi kebocoran dan memberikan insight bagaimana Windows dan aplikasi bekerja.

Requirement:

• Operating System: Windows Vista dan versi yang lebih baru setelahnya

Tutorial penggunaan:

• Mendownload Process Explorer dari Sysinternals
• Setelah itu, kita dapat memanfaatkan Process Explorer untuk melakukan pengecekan terhadap proses dari aplikasi yang digunakan. Caranya, dengan menggunakan fitur lingkaran berbentuk seperti busur (di bawah Tab Handle), lalu arahkan ke window dari aplikasi yang ingin dicek prosesnya.

• Kita juga dapat melakukan kill process pada Process Explorer, seperti yang biasa dilakukan pada Task Manager untuk end task. Caranya dengan klik kanan pada proses yang ingin di-kill, lalu pilih kill process

• Selain itu, kita juga dapat menggunakan Process Explorer untuk melihat thread dalam sebuah proses tertentu. Caranya dengan klik kanan pada suatu proses, lalu pilih properties. Selanjutnya, pada bagian Threads kita bisa melihat thread yang ada dalam sebuah proses. Kita bisa melihat informasi seperti Thread ID (TID), kapan waktu mulainya, statenya seperti apa dan informasi lainya.

• Dengan handle, kita dapat melihat ketika kita membuka suatu proses, kerjanya seperti apa atau nantinya akan masuk ke dalam file/folder apa. Contohnya di bawah ini pada bagian handle (bagian bawah), ketika proses Zoom.exe bekerja, maka akan ada beberapa file/library yang diambil.

Forensics

Dibutuhkan sebuah metodologi yang jelas untuk pengambilan data-data dan melakukan analisa terhadap data tersebut ketika melakukan forensik terhadap Windows.

1. PsLoggedOn

PsLoggedOn, kita dapat menemukan siapa yang sedang masuk/sedang log in ke dalam sistem kita, baik secara langsung (lokal) atau menggunakan remote access lainnya.

Requirement:

• Operating System: Windows

Tutorial penggunaan:

• Mendownload PsLoggedOn PsLoggedOndari Sysinternals
• Setelah itu, buka Command Prompt
• Lalu, drag PsLoggedOn64.exe ke bagian Command Prompt. Klik Enter

• Selanjutnya, kita dapat melihat informasi mengenai siapa yang sedang log in ke dalam sistem kita.

2. PsInfo

PsInfo, kita dapat mendapatkan informasi terkait komputer kita, mulai dari sudah hidup berapa hari, tipe Windows yang digunakan, product type, di-register menggunakan nama apa, system root dan informasi lainnya. Informasi ini dapat dijadikan sebagai barang bukti terkait dengan tipe komputer yang digunakan pelaku.

Requirement:

• Operating System: Windows

Tutorial penggunaan:

• Mendownload PsInfo dari Sysinternals
• Setelah itu, buka Command Prompt
• Lalu, drag PsInfo64.exe ke bagian Command Prompt. Klik Enter