forensic March 31, 2018 aldo No comments

forensik artefak dari mapped/mounted drives di Windows 7

Post ini lahir dari frustasi saat penugasan gw beberapa hari lalu. PC target terlihat sangat bersih dari data, dan saat melihat beberapa aktifitas terakhir dari user pada PC tersebut, terlihat bahwa user sebelumnya pernah me-mount beberapa network drive. Tentu saja hasil yang terlihat tidak lengkap, dan malah membuat penasaran. Pertanyaan yang muncul pertama adalah apakah user pernah me-mount network drive lain.

Beberapa registry key yang patut dilihat untuk mengetahui apakah user pernah me-mount drive lain adalah:

1. Map Network Drive MRU
Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU

2. MountPoints2
Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

3. RunMru
Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

Hal lain yang perlu juga menjadi perhatian adalah kapan registry-registry key tersebut terakhir ditulis (dalam kasus gw ‘dibersihkan’). Tentu saja sebuah script batch atau program kecil untuk mengekstraksi dan me-parse registry key di atas dapat sangat membantu di lapangan.

Leave a Reply

Your email address will not be published. Required fields are marked *