Windows Forensic : Non-Volatile Data Collection Playbook

Non-volatile data adalah data persisten yang tidak hilang saat sistem crash atau power-off. Data ini tersimpan di internal hard disk, flash drive, atau external hard disk, dan diperoleh saat static data acquisition. Secara forensik, ia mengungkap artifact berharga: Windows registry, file system, database files, external device yang pernah terhubung, hingga hidden partition. Contohnya: email, dokumen, spreadsheet, dan berbagai file yang "terhapus".

Playbook ini cocok untuk :

  • Forensic Investigator / DFIR Analyst
  • Security Operation Center (SOC)
Ingat: Jaga integritas evidence - tanpa modifikasi atau penghapusan. Saat sistem dinyalakan, sebagian data bisa berubah (mapped drive, service yang jalan, aplikasi terpasang) dan perubahan itu kadang tidak persisten setelah reboot. Catat dan dokumentasikan setiap perubahan tersebut.

Di mana non-volatile data berada?

  • Hard drive (utama)
  • Swap files, slack space, unallocated drive space
  • External hard drive, USB storage, smartphone
1 Examining File Systems

Memahami Windows file system penting untuk mengakses data file system dan merekonstruksi file system events. File system terdiri dari lima bagian:

BagianIsi
File system dataStruktur file system: jenis file system, block size, jumlah allocated block
Content dataSebagian besar informasi file system beserta isinya
MetadataLokasi konten, file size, MAC timestamps
File nameNama file
Application dataFile system journal, quota statistics

Jalankan perintah berikut untuk memeriksa tanggal & waktu instalasi OS, service packs, patches, dan sub-directory yang sering auto-update (mis. driver):

dir /o:d
Prioritaskan file dengan tanggal terbaru (recently dated files).
2 ESE Databases & Search Index

ESE Database File (.edb)

Extensible Storage Engine (ESE) - juga dikenal sebagai JET Blue - adalah database management system Microsoft untuk berbagai aplikasi Windows. File-nya berekstensi .edb dan menyimpan record utama terkait sistem dan user.

FileIsi & Lokasi
Windows.edbIndex information untuk Windows search
DataStore.edbInfo Windows update - C:\Windows\SoftwareDistribution\DataStore
Exchange (.edb)Mailbox data (email, calendar, contact) - MS Exchange Server 2019
Event log (.edb)Event log data - C:\Windows\System32\winevt\Logs
Active Directory (.edb)User account, group, dan objek AD domain

ESEDatabaseView

nirsoft.net
Downloads ESEDatabaseView
:: Fokus Ke Table
        - tbHistory
        - tbComputerInfo
        - tbServiceData
        - tbFiles
        - tbDownloadJob, tbCcrDownloadData, tbPerSessionDLData
      

Membaca dan menampilkan data .edb dalam format terstruktur. Menampilkan daftar table, memungkinkan pemilihan record, lalu export ke CSV/TSV/HTML/XML atau copy ke clipboard (Ctrl+C) untuk di-paste ke Excel.

Windows Search Index Analysis

    :: Deleted data tapi masih ter-index
    4430-System_IsDeleted = TRUE
    :: Encrypted file
    4392-System_FileExtension
    :: Damaged disk
    4447-System_ItemPathDisplay
    13F-System_Size
      

Windows Search Index meng-index file dan konten agar pencarian lebih cepat, dan menyimpan semua konten yang pernah dicari user dalam Windows.edb:

C:\ProgramData\Microsoft\Search\Data\Applications\Windows

Mem-parsing file ini mengungkap evidence terkait deleted data, damaged disk, encrypted file, event bounding. Gunakan ESEDatabaseView untuk mengekstrak detail data terhapus.

Cretae Shadow File untuk Copy Windows.edb
View Windows.edb
3 SRUM Artifacts

System Resource Usage Monitor (SRUM) adalah database bawaan Windows yang melacak resource usage, push notification, data usage, dan network connectivity. Berjalan otomatis saat boot dan menyimpan data dalam ESE file SRUDB.dat:

C:\Windows\System32\SRU\SRUDB.dat

User hanya melihat sebagian data lewat tab App history di Task Manager - SRUM menyimpan jauh lebih banyak. Tool: Velociraptor, Magnet AXIOM Examine, SRUM DUMP. Berguna untuk menganalisis C2 traffic, data exfiltration, malware, dan application behavior.

Manfaat data SRUM

  • Anomaly detection - mis. high resource utilization oleh proses tak dikenal (indikasi malware).
  • IoC detection - mis. komunikasi proses ke IP asing (indikasi data breach).
  • Performance monitoring - menganalisis masalah performa selama insiden.
  • Reconstructing timeline - memahami root cause, urutan event, scope, dan dampak.

Analisis SRUM dengan Velociraptor

  • Pilih artifact Windows.Forensics.SRUM di main dashboard.
  • Cari sistem target → Collect More Artifacts.
  • Ketik SRUM di search box, tambahkan artifact, klik Next untuk menjalankan.
  • Tab Log - lihat semua log yang dihasilkan.
  • Tab Results → source Execution Stats: running time, timestamp, username, network transfer count.
  • Source Application Resource Usage: path & lokasi aplikasi aktif → deteksi suspicious executable dari lokasi tidak lazim.
  • New Hunt untuk mengecek sistem yang mengeksekusi binary tertentu, lalu filter hasil berdasarkan nama binary.
4 User Account & System Audit

Collecting User Account Information (SAM)

Info user account (account name/type, logon timestamp, failed login attempts, login location) adalah evidence berharga. Windows menyimpannya dalam file SAM (Security Account Manager):

C:\Windows\System32\config\SAM HKEY_LOCAL_MACHINE\SAM

Tool - Artifast (forensafe.com): mengambil user account info dari image file, mem-parsing metadata SAM, dan melakukan timeline analysis. Menampilkan username, account type & status, login count, login scripts, path profile, last login, password reset, registry key modification, dan failed login attempts.

Langkah Artifast:

  • Case → New untuk membuat case.
  • Isi info case & pilih case directory, lalu add a data source (image file target).
  • Di Add Data Source: browse image, set time zone & hash sets, pilih OS Windows, artifact user accounts, klik Save.
  • Klik Run untuk memproses image.
  • Buka Timeline View / Artifact View untuk memeriksa hasil.

Auditing Installed Applications (WMIC)

Gunakan WMI/WMIC untuk mengekstrak software inventory dan mengidentifikasi aplikasi berbahaya/tidak dikenal.

:: Tampilkan name, version, location
wmic product get name,version
wmic product get name,version,installlocation

:: Simpan ke file teks
wmic product get name,version,installlocation /format:txt > c:\software_inventory.txt

:: Simpan ke file HTML
wmic /output:c:\software_inventory.htm product get name,version,installlocation /format:htable

Identifying System Updates

Lihat update history (installation date, description, hotfixid / KB number) untuk mencari aktivitas mencurigakan:

wmic qfe list
5 Connected Devices & Storage Artifacts

Detecting Externally Connected Devices

Mendeteksi device membantu menentukan apakah suspect memakai external media untuk cybercrime.

  • DriveLetterView (nirsoft.net): daftar semua drive letter assignment - local, remote network, external HDD, USB - bahkan yang tidak terpasang. Bisa export ke text/CSV/HTML/XML.
  • DevCon (learn.microsoft.com): command line tool untuk enable, disable, install, configure, remove device (lokal & remote).
devcon listclass <class> <port>

Slack Space

Slack space (file slack) adalah ruang antara akhir file tersimpan dan akhir disk cluster - muncul saat file lebih kecil dari file sebelumnya di cluster sama. Residual data-nya tetap utuh dan bisa memuat informasi bermakna.

Anti-forensik: slack space bisa dipakai menyembunyikan data tanpa diketahui file system (file dibuat lebih kecil, sisa ruang diisi hidden data). Data ini invisible bagi file system sampai diubah manual - meski bukan metode teraman.

Collecting Hidden Partition Information

Hidden partition adalah bagian logis disk yang tidak bisa diakses OS - bisa berisi file, data rahasia, atau system backup.

  • Partition Logic (partitionlogic.org.uk): create, delete, erase, format, defragment, resize, copy, move partition & mengubah atribut; bisa menyalin seluruh HDD.
  • Partition Find and Mount (findandmount.com): recovery partition terhapus/hilang dengan melocate & me-mount-nya kembali. Tetap berfungsi meski Boot Record / MBR hilang, rusak, atau ter-overwrite.

Windows Thumbnail Cache

Thumbnail file grafis (JPEG, BMP, PNG, GIF, TIFF) tersimpan di:

C:\Users\[User Profile]\AppData\Local\Microsoft\Windows\Explorer

File cache berupa thumbcache_***.db (*** = pixel dimension), memuat original filename, date/time, dan EXIF data. Yang penting: thumbnail file terhapus tetap tersimpan dan bisa diekstrak dengan Thumbcache Viewer / Thumbs Viewer (juga membaca iconcache_*.db).

Sticky Notes (Python)

Windows 11 Sticky Notes menyimpan data dalam SQLite plum.sqlite:

C:\Users\<Username>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite

Gunakan script Sticky_notes.py untuk ekstraksi, lalu analisis konten mencurigakan (keyword search, timestamp, dll.).

6 Windows Domain Information

Mengumpulkan domain information membantu memahami network environment, user & group, activity log, dan event log - sekaligus preservasi evidence untuk keperluan legal.

Domain Controller (PowerShell)

:: Info domain controller di sesi user saat ini
Get-ADDomainController

:: Domain controller di domain tertentu
Get-ADDomainController -Discover -Domain "Domain Name"

:: Domain controller di domain saat ini
Get-ADDomainController -Discover

Perintah NET

PerintahFungsi
net usersMelihat/mengelola user di lokal maupun domain
NET ACCOUNTSPassword settings (logon limitation) & info domain
net groupNama group account di server
net shareInfo file yang di-share
net useConnect/disconnect ke shared resource; tanpa opsi menampilkan koneksi aktif
7 Examining Compressed Files

Attacker sering menyisipkan konten berbahaya ke compressed file lalu mengirimkannya via email. Periksa format seperti .zip, .rar, .gz. Tool: MailXaminer, zipdump, Cellebrite Physical Analyzer.

Analisis ZIP dengan MailXaminer

MailXaminer (mailxaminer.com) otomatis mengekstrak isi & format file dalam zip yang dicurigai.

  • Tab Image di halaman Add Evidence → pilih source zip.
  • Opsi Search → lihat isi yang telah diekstrak (otomatis) dalam format aslinya.
  • Periksa hidden content (file, chat, SMS, calendar) beserta propertinya.
  • Filter media (image, text, PDF) via checkbox berdasarkan sensitivity level.
  • Ikon settings di tab Search → advanced search: General, Proximity, Fuzzy.
Prinsip utama: jaga chain of custody, kerjakan pada image (bukan disk asli), verifikasi hash, dan dokumentasikan setiap langkah agar evidence tetap admissible.