Windows memory acquiring

From belajarwiki
Jump to navigation Jump to search

Persiapan Tools

  1. winpmem. WinPmem adalah alat forensik yang dirancang untuk mengambil snapshot dari memori (memory dump) pada sistem operasi Windows. Ini berguna untuk analisis forensik, memungkinkan peneliti untuk menganalisis data yang ada di RAM, seperti proses yang berjalan, informasi pengguna, dan lebih banyak lagi.
  2. netcat. Ncat adalah alat jaringan yang digunakan untuk membaca dan menulis data melalui koneksi jaringan. Ia dapat berfungsi sebagai server atau klien dan sering digunakan untuk transfer data.

Percobaan

Percobaan ini akan menggunakan OS windows dan Kali linux. Persiapkan di virtual machine agar mudah dan aman dalam experiment.

LOCAL

Kita akan mendapatkan Window Memory Acruiring secara lokal. Masuk ke direktori dimana winpmem berada.

Misal di dalam folder tools, eksekusi 

winpmem.exe memory_evidence.raw

memory_evidence.raw adalah nama file output yang akan dihasilkan oleh winpmem. File ini akan berisi dump memori dari sistem. Ekstensi .raw menunjukkan bahwa file ini adalah dump mentah (raw memory dump) dari RAM, yang dapat digunakan dalam analisis lebih lanjut.


REMOTE

Kita coba mendapatkan Window Memory Acquiring secara remote.

Kali Linux

Cek IP kali linux 

ifconfig

Jalankan perintah untuk membuka port 9999 

sudo nc.traditional -v -l -p 9999 > mywinmem.raw

Bagian-Bagian Perintah

  • sudo: Perintah ini digunakan untuk menjalankan perintah sebagai superuser (root). Dalam konteks ini, sudo memberikan izin yang diperlukan untuk membuka port yang mungkin memerlukan hak akses lebih tinggi.
  • nc.traditional: Ini merujuk pada versi tradisional dari netcat (nc), sebuah alat jaringan yang dapat digunakan untuk membaca dan menulis data melalui koneksi jaringan. Terkadang ada beberapa versi netcat, dan nc.traditional menunjukkan versi tertentu yang diinginkan.
  • -v: Opsi ini mengaktifkan mode verbose. Dengan mode ini, netcat akan memberikan informasi tambahan tentang apa yang sedang dilakukannya, termasuk koneksi yang diterima.
  • -l: Opsi ini memberitahu netcat untuk masuk ke mode listen (mendengarkan), sehingga alat akan menunggu koneksi yang masuk pada port yang ditentukan.
  • -p 9999: Opsi ini menetapkan port yang akan didengarkan oleh netcat, dalam hal ini port 9999.
  • > mywinmem.raw: Tanda > digunakan untuk mengalihkan (redirect) output dari perintah ke file. Dalam hal ini, semua data yang diterima melalui koneksi ke port 9999 akan disimpan ke dalam file bernama mywinmem.raw.

Windows

Misal di dalam folder tools, eksekusi 

winpmem - | ncat 192.168.1.10 9999

Penjelasan Bagian-Bagian Perintah

  • winpmem: WinPmem adalah alat untuk mengambil gambar memori (memory dump) dari sistem operasi Windows. Alat ini dapat digunakan untuk mendapatkan snapshot dari data yang ada di RAM, yang bisa sangat berguna dalam analisis forensik.
  • - (dash): Dalam konteks ini, tanda - digunakan untuk menunjukkan bahwa output dari winpmem akan dialirkan ke perintah berikutnya melalui pipe (|).
  • | (pipe): Pipe (|) adalah operator yang mengalirkan output dari satu perintah ke perintah lain. Di sini, output dari winpmem (yaitu dump memori) dialirkan ke ncat.
  • ncat: Ncat adalah alat jaringan yang digunakan untuk membaca dan menulis data melalui koneksi jaringan. Ia dapat berfungsi sebagai server atau klien dan sering digunakan untuk transfer data.
  • 192.168.1.10: Ini adalah IP kali (tujuan)

Link terkait


Referensi

Retrieved from "https://kontenbelajar.com/wiki/index.php?title=Windows_memory_acquiring&oldid=371"