Open in app

Sign in

Write

Sign in

Tools untuk Melakukan Monitoring dan Forensik pada Windows

Audrey Betsy Rumapea
8 min readOct 22, 2021
Source: StatCounter Global Stats

Fun fact: Windows memegang 75.4% market OS pada Oktober 2021.

Not-so-fun fact: Hal tersebut menjadikan Windows sebagai OS yang sering diserang. 83,45% malware di dunia ditujukan terhadap Windows berdasarkan data Q1 2020.

Oleh karena itu, sebaiknya kita memahami cara monitoring agar bila terjadi serangan pada Windows, kita dapat mengidentifikasi proses yang menyebabkan gangguan. Ada pula beberapa tools yang dapat digunakan untuk melakukan forensik pada Windows sehingga kita bisa menginvestigasi sebuah serangan.

Curious enough?

Process Monitoring dengan Task Manager

Dalam sebuah OS, alokasi sumber daya diatur oleh proses, dan oleh karena itu, sebagian besar monitoring dilakukan pada tingkat proses. Task manager adalah tools yang disediakan Windows untuk memantau aplikasi-aplikasi serta proses yang berjalan pada aplikasi tersebut.

Untuk menjalankan Task Manager, dibutuhkan OS Windows NT 4.0 atau OS Windows yang lebih baru.

Task Manager

Seperti terlihat di atas, ada beberapa tab yang terdapat di Task Manager, yaitu Processes, Performance, App History, Startup, Users, Details, dan Services. Apa bedanya? Yuk kita lihat satu persatu!

Tab Processes

Di tab ini, kita bisa melihat seluruh progam dan aplikasi yang sedang berjalan, termasuk background process dan proses Windows.

Di tab Processes, kita dapat mengidentifikasi sumber daya komputer yang digunakan oleh setiap program, yaitu CPU, Memory, Disk, Network, dan power usage. Dari tab ini, apabila terdapat proses yang abnormal (misalnya memakan sumber daya komputer terlalu banyak), kita dapat mengakhiri proses tersebut dengan menekan end task.

Tab Performance

Di tab Performance, kita dapat melihat penggunaan sumber daya komputer secara real time. Terdapat beberapa komponen yang ditinjau, yaitu CPU, Memory, Disk, Wi-Fi, dan GPU.

CPU

Di kanan atas, kita dapat melihat processor yang digunakan oleh komputer, contohnya pada komputer saya yaitu AMD Ryzen 5 4500U. Kemudian, kita juga dapat melihat grafik penggunaan CPU selama 60 detik. Ada pula beberapa detail penggunaan CPU seperti utilization rate, kecepatan CPU, jumlah proses dan thread yang berjalan, jumlah handle, serta up time.

Performance tab

Memory

Berikutnya, terdapat memory yang menyediakan informasi mengenai penggunaan RAM. Di kanan atas, terdapat besar RAM komputer kita, sementara di bawahnya terdapat memory usage, yaitu besar RAM maksimal yang sebenarnya dapat kita gunakan. Ada pula informasi lain mengenai memory, antara lain kecepatan (speed) dan slot memori yang digunakan, yang terletak di bawah grafik kedua.

Terdapat dua grafik di bagian memory. Grafik atas menunjukkan penggunaan memori selama 60 detik, sementara grafik bawah menunjukkan komposisi memori yang terbagi menjadi 3: In use, Modified, dan Standby.

Disk

Bagian ini menunjukkan penggunaan SSD(C:). Di grafik yang atas, kita dapat melihat active time SSD. Sementara, grafik bawah menunjukan transfer rate, yang menunjukkan kecepatan penulisan atau transfer data yang melalui disk tertentu.

Wi-Fi

Di bagian Wi-Fi, kita dapat melihat detail Wi-Fi yang kita gunakan, seperti kecepatan pengiriman dan penerimaan data, SSID, tipe connection, serta alamat IP dan kekuatan sinyal.

GPU

Di kanan atas, kita dapat melihat GPU yang digunakan oleh komputer. Terdapat beberapa informasi penting mengenai GPU di bagian ini, seperti memori GPU, utilization rate, serta driver version.

Open Resource Monitor

Walaupun bagian-bagian di atas sebenarnya sudah cukup detail, kita dapat mencari informasi lebih detail mengenai tiap komponen dengan membuka Open Resource Monitor di kiri bawah Tab Performance, di sebelah ‘Fewer Details’. Di open resource monitor, kita dapat mengetahui PID atau ID dari sebuah proses.

Tab App History

Tab App History menunjukan penggunaan CPU dan jaringan internet dari tiap aplikasi. Kita dapat mengurutkan aplikasi tersebut berdasarkan nama, CPU time, network, metered network, dan tile updates. Pada gambar di bawah ini, saya mengurutkan aplikasi berdasarkan network.

Tab App History

Tab Startup

Tab Startup menampilkan program yang dijalankan secara otomatis ketika komputer dinyalakan dan user masuk ke dalam Windows. Di bagian ini terdapat informasi mengenai besar pengaruh program terhadap performa komputer, seperti Low, Medium, dan High.

Tab Startup

Tab Users

Tab ini menyediakan informasi akun user yang masuk ke komputer dan daftar proses yang dijalankan user tersebut.

Tab Users

Tab Details

Dalam tab ini, ditampilkan semua proses yang sedang berjalan. Berikut adalah contoh tampilan daftar proses ketika diurutkan berdasarkan penggunaan CPU.

Tab Details

Tab Services

Tab ini berisi daftar layanan Windows yang ter-install di komputer. Ada dua jenis status layanan, yaitu Running (sedang aktif) dan Stopped (sedang berhenti).

Communication Monitoring dengan TCPView

TCPView adalah program Windows yang menampilkan daftar detail proses komunikasi yang membutuhkan internet beserta endpoint TCP dan UDP, local address, remote address, dan status koneksi TCP. Program ini dapat diunduh di situs ini.

Requirement untuk menjalankan TCPView terbagi menjadi dua, yaitu dari sisi client dan server. Untuk client, dibutuhkan Windows 8.1 atau lebih tinggi. Sementara, untuk server, dibutuhkan Windows Server 2012 atau lebih tinggi.

Secara default, TCPView memperbarui data setiap 2 detik. Hal ini dapat diubah melalui View > Update Speed. Apabila kita ingin memberhentikan data sementara, kita dapat menekan spasi.

Cara mengganti update speed

Warna-warna pada setiap proses memiliki arti tersendiri.

  • Hijau: ketika paket untuk proses three way handshake akan dibuat (endpoint baru). Biasa muncul bila dibuka suatu page baru.
  • Kuning: ketika proses sedang menunggu terjadinya perubahan state pada endpoint, misal paket akan dibuat (berubah menjadi hijau) dan paket akan dibuang (berubah menjadi merah)
  • Merah: ketika endpoint dibuang atau dihapus.

Kita dapat menutup koneksi TCP/IP yang sudah established dengan mengklik kanan sebuah proses dan memilih Close Connections.

Context menu untuk menutup koneksi

Forensik terhadap Browsing History dengan BrowsingHistoryView

Tools yang digunakan pada forensik browsing history ini adalah BrowsingHistoryView 2.50 yang dapat diunduh pada situs ini. Tools ini berguna untuk melihat seluruh history baik pada web browser maupun pada Windows.

Requirement yang diperlukan yaitu:

  • OS: semua versi Windows dari Windows 2000 baik 32 maupun 64 bit
  • Browser: Internet Explorer versi 4.0 atau versi lebih tinggi, Mozilla Firefox versi 3.0 atau versi lebih tinggi, Microsoft Edge, Google Chrome, Safari, Opera versi 15 atau versi lebih tinggi.

Berikut adalah advanced options yang muncul ketika membuka aplikasi. Di sini, kita bisa menyaring history berdasarkan:

  • Time range
  • String spesifik dalam URL
  • Web browser

Data yang ditampilkan mengenai browsing history ini beragam, seperti:

  • URL
  • Title
  • Visit Time (kapan mengunjungi website tersebut)
  • Visit Count (berapa kali profile browser tertentu mengunjungi website)
  • Visited From
  • Visit Type
  • Web Browser yang digunakan (contohnya Mozilla Firefox, Internet Explorer, Chrome)
  • Browser Profile. Pada Chrome, seorang user Windows dapat memiliki lebih dari satu profile.
  • URL Length
  • Typed Count
  • History File
  • Record ID

Di bawah ini adalah sebagian dari browsing history di laptop saya untuk web browsing.

Dari browsing history, kita dapat mengetahui apa saja yang di-browse oleh seseorang ketika menggunakan komputer di waktu yang spesifik, sehingga dapat dijadikan salah satu bukti forensik.

Forensik terhadap Clipboard dengan Free Clipboard Viewer

Konten dalam clipboard merupakan informasi volatile yang tersimpan dalam RAM. Oleh karena itu, selama komputer menyala dan user tidak log out dari Windows, konten yang di-copy oleh user akan tetap tersimpan di clipboard, dan dapat digunakan untuk memperkirakan aktivitas terakhir user.

Tools yang saya gunakan untuk menganalisis konten clipboard adalah Free Clipboard Viewer versi 4.0 yang merupakan program untuk melihat informasi yang disimpan dalam memori ketika kita menggunakan cut atau copy di Windows. Program ini menampilkan konten clipboard yang paling baru, sehingga setiap menekan cut atau copy, konten yang tampil di program akan berubah otomatis.

Tools tersebut dapat di-download di situs ini. Requirement OS yang ditetapkan adalah Microsoft Windows 11/10/8.1/8/7.

Ketika saya melakukan copy terhadap sebuah gambar hasil Google Search, berikut adalah preview yang muncul di clipboard.

Preview image dari clipboard

Selain melihat preview gambar, kita juga dapat mengetahui HTML dari gambar tersebut. Contohnya, di bawah, kita dapat mengetahui bahwa sumber gambar ini adalah Suara.com, dan kita dapat menebak pula bahwa gambar tersebut adalah gambar di Dufan dari nama file-nya, yaitu 37044-dufan-dunia-fantasi.jpg.

Selanjutnya, saya mencoba menggunakan Free Clipboard Viewer untuk gambar yang berada di local.

Dapat dilihat bahwa terdapat perbedaan menu di sebelah kanan. Hasil copy image dari Google Search menyediakan informasi HTML Format serta URL, sementara hasil copy image dari lokal menyediakan informasi mengenai list of files (alamat gambar di komputer), DataObject, dan OLE Private Data.

To sum up..

Jadi, di atas kita udah belajar beberapa tools yang dapat digunakan untuk monitoring dan pelaksanaan forensik. Tools tersebut menganalisis komponen yang berbeda di Windows, dan apabila dikumpulkan dapat memungkinkan kita memahami dan menyajikan bukti yang lengkap dari sebuah serangan.

Sebenarnya, masih banyak lagi tools yang belum dieksplor pada artikel ini, jadi kalo mau cari-cari lagi tentunya boleh banget, dan jangan lupa sharing di comment di bawah ya!

Artikel ini ditulis oleh Audrey Betsy Rumapea (18218039)

Tugas 4: Review Tools untuk Monitoring and Forensics pada Windows

Mata kuliah: II4033 Forensik Digital

--

--

Audrey Betsy Rumapea

Written by Audrey Betsy Rumapea

10 Followers

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams