Aditya: Created page with "==Persiapan Tools== #winpmem. WinPmem adalah alat forensik yang dirancang untuk mengambil snapshot dari memori (memory dump) pada sistem operasi Windows. Ini berguna untuk ana..."

2024-10-09T07:38:29Z

Created page with "==Persiapan Tools== #winpmem. WinPmem adalah alat forensik yang dirancang untuk mengambil snapshot dari memori (memory dump) pada sistem operasi Windows. Ini berguna untuk ana..."

New page

==Persiapan Tools==
#winpmem. WinPmem adalah alat forensik yang dirancang untuk mengambil snapshot dari memori (memory dump) pada sistem operasi Windows. Ini berguna untuk analisis forensik, memungkinkan peneliti untuk menganalisis data yang ada di RAM, seperti proses yang berjalan, informasi pengguna, dan lebih banyak lagi.
#netcat. Ncat adalah alat jaringan yang digunakan untuk membaca dan menulis data melalui koneksi jaringan. Ia dapat berfungsi sebagai server atau klien dan sering digunakan untuk transfer data.

==Percobaan==
Percobaan ini akan menggunakan OS windows dan Kali linux. Persiapkan di virtual machine agar mudah dan aman dalam experiment.

===LOCAL===
Kita akan mendapatkan Window Memory Acruiring secara lokal. Masuk ke direktori dimana winpmem berada.

Misal di dalam folder tools, eksekusi
winpmem.exe memory_evidence.raw

memory_evidence.raw adalah nama file output yang akan dihasilkan oleh winpmem. File ini akan berisi dump memori dari sistem. Ekstensi .raw menunjukkan bahwa file ini adalah dump mentah (raw memory dump) dari RAM, yang dapat digunakan dalam analisis lebih lanjut.

===REMOTE===
Kita coba mendapatkan Window Memory Acquiring secara remote.
====Kali Linux====
Cek IP kali linux
ifconfig

Jalankan perintah untuk membuka port 9999
sudo nc.traditional -v -l -p 9999 > mywinmem.raw

Bagian-Bagian Perintah

* sudo: Perintah ini digunakan untuk menjalankan perintah sebagai superuser (root). Dalam konteks ini, sudo memberikan izin yang diperlukan untuk membuka port yang mungkin memerlukan hak akses lebih tinggi.
* nc.traditional: Ini merujuk pada versi tradisional dari netcat (nc), sebuah alat jaringan yang dapat digunakan untuk membaca dan menulis data melalui koneksi jaringan. Terkadang ada beberapa versi netcat, dan nc.traditional menunjukkan versi tertentu yang diinginkan.
* -v: Opsi ini mengaktifkan mode verbose. Dengan mode ini, netcat akan memberikan informasi tambahan tentang apa yang sedang dilakukannya, termasuk koneksi yang diterima.
* -l: Opsi ini memberitahu netcat untuk masuk ke mode listen (mendengarkan), sehingga alat akan menunggu koneksi yang masuk pada port yang ditentukan.
* -p 9999: Opsi ini menetapkan port yang akan didengarkan oleh netcat, dalam hal ini port 9999.
* > mywinmem.raw: Tanda > digunakan untuk mengalihkan (redirect) output dari perintah ke file. Dalam hal ini, semua data yang diterima melalui koneksi ke port 9999 akan disimpan ke dalam file bernama mywinmem.raw.

====Windows====
Misal di dalam folder tools, eksekusi
winpmem - | ncat 192.168.1.10 9999

Penjelasan Bagian-Bagian Perintah
*winpmem: WinPmem adalah alat untuk mengambil gambar memori (memory dump) dari sistem operasi Windows. Alat ini dapat digunakan untuk mendapatkan snapshot dari data yang ada di RAM, yang bisa sangat berguna dalam analisis forensik.
* - (dash): Dalam konteks ini, tanda - digunakan untuk menunjukkan bahwa output dari winpmem akan dialirkan ke perintah berikutnya melalui pipe (|).
* | (pipe): Pipe (|) adalah operator yang mengalirkan output dari satu perintah ke perintah lain. Di sini, output dari winpmem (yaitu dump memori) dialirkan ke ncat.
* ncat: Ncat adalah alat jaringan yang digunakan untuk membaca dan menulis data melalui koneksi jaringan. Ia dapat berfungsi sebagai server atau klien dan sering digunakan untuk transfer data.
* 192.168.1.10: Ini adalah IP kali (tujuan)

==Link terkait==
* [[Digital Forensics]]

==Referensi==
* Modul kuliah Digital Forensic STEI ITB
* https://github.com/Velocidex/WinPmem/releases
* https://nmap.org/download.html

Windows memory acquiring - Revision history

Aditya: Created page with "==Persiapan Tools== #winpmem. WinPmem adalah alat forensik yang dirancang untuk mengambil snapshot dari memori (memory dump) pada sistem operasi Windows. Ini berguna untuk ana..."