Non-volatile data adalah data persisten yang tidak hilang saat sistem crash atau power-off. Data ini tersimpan di internal hard disk, flash drive, atau external hard disk, dan diperoleh saat static data acquisition. Secara forensik, ia mengungkap artifact berharga: Windows registry, file system, database files, external device yang pernah terhubung, hingga hidden partition. Contohnya: email, dokumen, spreadsheet, dan berbagai file yang "terhapus".
Playbook ini cocok untuk :
- Forensic Investigator / DFIR Analyst
- Security Operation Center (SOC)
Di mana non-volatile data berada?
- Hard drive (utama)
- Swap files, slack space, unallocated drive space
- External hard drive, USB storage, smartphone
Memahami Windows file system penting untuk mengakses data file system dan merekonstruksi file system events. File system terdiri dari lima bagian:
| Bagian | Isi |
|---|---|
| File system data | Struktur file system: jenis file system, block size, jumlah allocated block |
| Content data | Sebagian besar informasi file system beserta isinya |
| Metadata | Lokasi konten, file size, MAC timestamps |
| File name | Nama file |
| Application data | File system journal, quota statistics |
Jalankan perintah berikut untuk memeriksa tanggal & waktu instalasi OS, service packs, patches, dan sub-directory yang sering auto-update (mis. driver):
dir /o:d
ESE Database File (.edb)
Extensible Storage Engine (ESE) - juga dikenal sebagai JET Blue - adalah database management system Microsoft untuk berbagai aplikasi Windows. File-nya berekstensi .edb dan menyimpan record utama terkait sistem dan user.
| File | Isi & Lokasi |
|---|---|
| Windows.edb | Index information untuk Windows search |
| DataStore.edb | Info Windows update - C:\Windows\SoftwareDistribution\DataStore |
| Exchange (.edb) | Mailbox data (email, calendar, contact) - MS Exchange Server 2019 |
| Event log (.edb) | Event log data - C:\Windows\System32\winevt\Logs |
| Active Directory (.edb) | User account, group, dan objek AD domain |
ESEDatabaseView
nirsoft.netDownloads ESEDatabaseView
:: Fokus Ke Table
- tbHistory
- tbComputerInfo
- tbServiceData
- tbFiles
- tbDownloadJob, tbCcrDownloadData, tbPerSessionDLData
Membaca dan menampilkan data .edb dalam format terstruktur. Menampilkan daftar table, memungkinkan pemilihan record, lalu export ke CSV/TSV/HTML/XML atau copy ke clipboard (Ctrl+C) untuk di-paste ke Excel.
Windows Search Index Analysis
:: Deleted data tapi masih ter-index
4430-System_IsDeleted = TRUE
:: Encrypted file
4392-System_FileExtension
:: Damaged disk
4447-System_ItemPathDisplay
13F-System_Size
Windows Search Index meng-index file dan konten agar pencarian lebih cepat, dan menyimpan semua konten yang pernah dicari user dalam Windows.edb:
Mem-parsing file ini mengungkap evidence terkait deleted data, damaged disk, encrypted file, event bounding. Gunakan ESEDatabaseView untuk mengekstrak detail data terhapus.
Cretae Shadow File untuk Copy Windows.edb View Windows.edbSystem Resource Usage Monitor (SRUM) adalah database bawaan Windows yang melacak resource usage, push notification, data usage, dan network connectivity. Berjalan otomatis saat boot dan menyimpan data dalam ESE file SRUDB.dat:
User hanya melihat sebagian data lewat tab App history di Task Manager - SRUM menyimpan jauh lebih banyak. Tool: Velociraptor, Magnet AXIOM Examine, SRUM DUMP. Berguna untuk menganalisis C2 traffic, data exfiltration, malware, dan application behavior.
Manfaat data SRUM
- Anomaly detection - mis. high resource utilization oleh proses tak dikenal (indikasi malware).
- IoC detection - mis. komunikasi proses ke IP asing (indikasi data breach).
- Performance monitoring - menganalisis masalah performa selama insiden.
- Reconstructing timeline - memahami root cause, urutan event, scope, dan dampak.
Analisis SRUM dengan Velociraptor
- Pilih artifact
Windows.Forensics.SRUMdi main dashboard. - Cari sistem target → Collect More Artifacts.
- Ketik SRUM di search box, tambahkan artifact, klik Next untuk menjalankan.
- Tab Log - lihat semua log yang dihasilkan.
- Tab Results → source Execution Stats: running time, timestamp, username, network transfer count.
- Source Application Resource Usage: path & lokasi aplikasi aktif → deteksi suspicious executable dari lokasi tidak lazim.
- New Hunt untuk mengecek sistem yang mengeksekusi binary tertentu, lalu filter hasil berdasarkan nama binary.
Collecting User Account Information (SAM)
Info user account (account name/type, logon timestamp, failed login attempts, login location) adalah evidence berharga. Windows menyimpannya dalam file SAM (Security Account Manager):
C:\Windows\System32\config\SAM HKEY_LOCAL_MACHINE\SAMTool - Artifast (forensafe.com): mengambil user account info dari image file, mem-parsing metadata SAM, dan melakukan timeline analysis. Menampilkan username, account type & status, login count, login scripts, path profile, last login, password reset, registry key modification, dan failed login attempts.
Langkah Artifast:
- Case → New untuk membuat case.
- Isi info case & pilih case directory, lalu add a data source (image file target).
- Di Add Data Source: browse image, set time zone & hash sets, pilih OS Windows, artifact user accounts, klik Save.
- Klik Run untuk memproses image.
- Buka Timeline View / Artifact View untuk memeriksa hasil.
Auditing Installed Applications (WMIC)
Gunakan WMI/WMIC untuk mengekstrak software inventory dan mengidentifikasi aplikasi berbahaya/tidak dikenal.
:: Tampilkan name, version, location wmic product get name,version wmic product get name,version,installlocation :: Simpan ke file teks wmic product get name,version,installlocation /format:txt > c:\software_inventory.txt :: Simpan ke file HTML wmic /output:c:\software_inventory.htm product get name,version,installlocation /format:htable
Identifying System Updates
Lihat update history (installation date, description, hotfixid / KB number) untuk mencari aktivitas mencurigakan:
wmic qfe list
Detecting Externally Connected Devices
Mendeteksi device membantu menentukan apakah suspect memakai external media untuk cybercrime.
- DriveLetterView (nirsoft.net): daftar semua drive letter assignment - local, remote network, external HDD, USB - bahkan yang tidak terpasang. Bisa export ke text/CSV/HTML/XML.
- DevCon (learn.microsoft.com): command line tool untuk enable, disable, install, configure, remove device (lokal & remote).
devcon listclass <class> <port>
Slack Space
Slack space (file slack) adalah ruang antara akhir file tersimpan dan akhir disk cluster - muncul saat file lebih kecil dari file sebelumnya di cluster sama. Residual data-nya tetap utuh dan bisa memuat informasi bermakna.
Collecting Hidden Partition Information
Hidden partition adalah bagian logis disk yang tidak bisa diakses OS - bisa berisi file, data rahasia, atau system backup.
- Partition Logic (partitionlogic.org.uk): create, delete, erase, format, defragment, resize, copy, move partition & mengubah atribut; bisa menyalin seluruh HDD.
- Partition Find and Mount (findandmount.com): recovery partition terhapus/hilang dengan melocate & me-mount-nya kembali. Tetap berfungsi meski Boot Record / MBR hilang, rusak, atau ter-overwrite.
Windows Thumbnail Cache
Thumbnail file grafis (JPEG, BMP, PNG, GIF, TIFF) tersimpan di:
C:\Users\[User Profile]\AppData\Local\Microsoft\Windows\ExplorerFile cache berupa thumbcache_***.db (*** = pixel dimension), memuat original filename, date/time, dan EXIF data. Yang penting: thumbnail file terhapus tetap tersimpan dan bisa diekstrak dengan Thumbcache Viewer / Thumbs Viewer (juga membaca iconcache_*.db).
Sticky Notes (Python)
Windows 11 Sticky Notes menyimpan data dalam SQLite plum.sqlite:
Gunakan script Sticky_notes.py untuk ekstraksi, lalu analisis konten mencurigakan (keyword search, timestamp, dll.).
Mengumpulkan domain information membantu memahami network environment, user & group, activity log, dan event log - sekaligus preservasi evidence untuk keperluan legal.
Domain Controller (PowerShell)
:: Info domain controller di sesi user saat ini Get-ADDomainController :: Domain controller di domain tertentu Get-ADDomainController -Discover -Domain "Domain Name" :: Domain controller di domain saat ini Get-ADDomainController -Discover
Perintah NET
| Perintah | Fungsi |
|---|---|
| net users | Melihat/mengelola user di lokal maupun domain |
| NET ACCOUNTS | Password settings (logon limitation) & info domain |
| net group | Nama group account di server |
| net share | Info file yang di-share |
| net use | Connect/disconnect ke shared resource; tanpa opsi menampilkan koneksi aktif |
Attacker sering menyisipkan konten berbahaya ke compressed file lalu mengirimkannya via email. Periksa format seperti .zip, .rar, .gz. Tool: MailXaminer, zipdump, Cellebrite Physical Analyzer.
Analisis ZIP dengan MailXaminer
MailXaminer (mailxaminer.com) otomatis mengekstrak isi & format file dalam zip yang dicurigai.
- Tab Image di halaman Add Evidence → pilih source zip.
- Opsi Search → lihat isi yang telah diekstrak (otomatis) dalam format aslinya.
- Periksa hidden content (file, chat, SMS, calendar) beserta propertinya.
- Filter media (image, text, PDF) via checkbox berdasarkan sensitivity level.
- Ikon settings di tab Search → advanced search: General, Proximity, Fuzzy.




