Panduan ini membahas lokasi-lokasi file log Windows paling krusial yang penting bagi profesional keamanan siber, termasuk log kredensial, log sistem dan peristiwa, indikator malware, dan jalur persistensi. Mengetahui di mana menemukan file-file ini adalah kunci untuk keberhasilan perburuan ancaman, respons insiden, dan analisis forensik digital.
.png)
Table of Contents
Log Kredensial dan Akses
Berkas-berkas ini menjadi tempat pemberhentian pertama saat Anda perlu menyelidiki bagaimana pelaku ancaman dapat mengakses sistem atau mencuri kredensial pengguna.
- SAM (Security Account Manager): Terletak di C:\Windows\System32\config\SAM, file ini menyimpan hash kata sandi lokal. Penyerang sering menargetkan berkas ini untuk mengekstrak kata sandi menggunakan alat seperti Mimikatz.
- SAM (Backup): Cadangan file SAM dapat ditemukan di C:\Windows\repair\SAM. Lokasi ini sering diabaikan tetapi juga dapat menjadi target untuk ekstraksi kredensial.
- SECURITY: Berkas di C:\Windows\System32\config\SECURITY ini berisi kebijakan keamanan dan pengaturan kontrol akses, yang dapat membantu melacak peningkatan hak istimewa (privilege escalation) dan perubahan yang tidak sah.
Log Sistem dan Peristiwa
Log ini merupakan tulang punggung forensik digital, menyediakan informasi tentang perubahan sistem, tindakan pengguna, dan perilaku perangkat lunak.
- Windows Event Logs: Disimpan di direktori C:\Windows\System32\winevt\, log ini sangat penting untuk korelasi peristiwa, pembuatan garis waktu insiden, dan integrasi dengan sistem SIEM.
- SYSTEM Registry Hive: Terletak di C:\Windows\System32\config\SYSTEM, file ini mencatat perubahan konfigurasi sistem, pemuatan driver, dan informasi perangkat keras.
- SOFTWARE Registry Hive: Ditemukan di C:\Windows\System32\config\SOFTWARE, hive ini menyediakan rincian tentang perangkat lunak yang terinstal, perubahan versi, dan potensi instalasi yang tidak sah.
Indikator Malware dan Perburuan Ancaman
Ketika malware menyerang, berkas-berkas ini dapat mengungkapkan apa yang dieksekusi, kapan, dan oleh siapa—data krusial untuk rekonstruksi garis waktu forensik.
- Prefetch: Folder di C:\Windows\Prefetch\ ini melacak program yang baru saja dijalankan, sangat berguna dalam membangun linimasa aktivitas penyerang.
- Amcache.hve: Berkas di C:\Windows\AppCompat\Programs\Amcache.hve ini berisi data tentang aplikasi yang dijalankan, hash file, dan jalur eksekusi, ideal untuk mendeteksi biner berbahaya.
- NTUSER.dat: File registri khusus pengguna yang terletak di C:\Users\<Username>\NTUSER.dat ini menyimpan data tentang pengaturan dan preferensi. Sering disalahgunakan oleh malware untuk mempertahankan persistensi.
Investigasi Persistensi dan Startup
Agar dapat bertahan dari reboot, penyerang sering menempatkan malware di folder startup atau memodifikasi kunci registri. Jalur-jalur berikut dapat membantu mengungkap metode tersebut.
- User Startup Folder: Lokasi di C:\Users\<Username>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ini digunakan untuk program startup khusus pengguna.
- Global Startup Folder: Folder di C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup ini berlaku untuk semua pengguna di sistem. Malware sering meletakkan file di sini untuk dijalankan setiap kali booting.
Bagi para profesional di bidang forensik digital, perburuan ancaman, atau respons insiden, mengetahui lokasi log Windows ini dapat mempercepat investigasi secara drastis. Menggunakan alat seperti Sysinternals, Autoruns, dan platform SIEM dapat membantu mengotomatiskan analisis dan pemantauan log-log penting ini. Selalu pantau jalur-jalur ini dengan alat deteksi dan respons titik akhir (EDR) untuk mendeteksi perubahan yang tidak sah secara real-time.
Pertanyaan yang Sering Diajukan (FAQ)
Di mana letak berkas SAM di Windows?
Berkas SAM terletak di C:\Windows\System32\config\SAM. File ini menyimpan hash kata sandi dari akun pengguna lokal.
Apa kegunaan file Amcache.hve?
Berkas registri ini mencatat metadata tentang aplikasi yang pernah dijalankan di sistem, termasuk jalur file, waktu eksekusi, dan hash SHA1. Ini sangat berguna untuk melacak eksekusi malware yang mungkin telah dihapus.
Di mana Log Peristiwa Windows (Event Logs) disimpan?
Log-log ini disimpan dalam format .evtx di dalam direktori C:\Windows\System32\winevt\Logs\.
Bagaimana malware menggunakan folder Startup untuk persistensi?
Malware sering kali menempatkan file executable atau shortcut di folder Startup (baik untuk pengguna spesifik maupun global) agar dapat berjalan secara otomatis setiap kali sistem dinyalakan atau pengguna login.
Apa perbedaan antara file SAM dan SECURITY?
File SAM secara khusus menyimpan kredensial (hash kata sandi) pengguna lokal, sedangkan file SECURITY menyimpan kebijakan keamanan sistem, seperti hak akses pengguna dan aturan audit.
Bisakah log yang sudah dihapus oleh penyerang dipulihkan?
Terkadang bisa. Menggunakan alat forensik khusus, investigator dapat mencoba memulihkan file atau fragmen log dari ruang disk yang tidak teralokasi (unallocated space) sebelum data tersebut ditimpa.

0 Komentar