Ini memberitahu kita bahwa pada pukul 08:38 tanggal 1 November, seseorang di host 131.122.6.104 mencoba masuk sebagai pengguna m159999, memberikan kata sandi yang salah, lalu mencoba masuk lagi dan berhasil. Pikirkan tentang bagaimana ini dapat digunakan untuk melacak seseorang yang melakukan atau mencoba melakukan hal-hal buruk!
Perintah yang dieksekusi: Setiap perintah yang Anda jalankan dicatat!
Di rona, misalnya, sysadmin memiliki alat yang disebut lastcomm yang mencantumkan setiap perintah yang dijalankan oleh pengguna mana pun. Berikut ini contoh beberapa baris yang dihasilkan oleh perintah:
md5sum          m159999  ??     0.00 secs Thu Nov  3 07:36
bash          F   m159999  ??     0.00 secs Thu Nov  3 07:36
ssh               m159999  ??     0.00 secs Thu Nov  3 07:36
bash          F   m159999  ??     0.00 secs Thu Nov  3 07:36
Apa yang kita pelajari dari ini? Kami mengetahui bahwa pada pukul 7:36 pagi pada tanggal 3 November, pengguna m159999 menghitung hash MD5 dan kemudian melakukan ssh ke beberapa host. Pikirkan tentang bagaimana itu bisa digunakan sebagai bukti. Sebenarnya, ada perintah bernama history yang akan memunculkan N perintah terakhir yang Anda berikan, bersama dengan argumen seperti nama file, dll. Jika Anda login ke akun rona Anda dan memberikan perintah history, Anda mungkin akan melihat semua perintah yang pernah kamu berikan pada rona!
Peranan dari laboratorium forensik adalah mengeksplorasi secara mendalam jenis informasi yang tertinggal — mungkin secara tidak terduga — di komputer Windows Anda. Jadi kami hanya menyebutkan beberapa contoh di sini:
Cache browser:Â
File yang baru diakses: Jika Anda meluncurkan regedit dan lihat di bawah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
menunjukkan file yang Anda buka baru-baru ini, diurutkan berdasarkan jenis file (ekstensi). Jika Anda memilih jam kanan dan memilih "Ubah", Anda akan melihat nama file.
Jaringan yang pernah Anda kunjungi:
KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures
dan kemudian lihat di bawah Managed dan Unmanaged Anda akan melihat antara lain alamat MAC dari Router Gateway untuk jaringan yang pernah Anda kunjungi.
"Meta-data" dalam dokumen:Â
Program seperti Microsoft Word menyimpan "meta data" dalam dokumen yang mereka buat. Misalnya, Jika Anda mengklik kanan ikon untuk file Word, pilih "Properties" dan lihat di bawah tab "Details", Anda sering menemukan informasi seperti nama penulis dokumen, alamat email, username penulis dan lain sebagainya. Dengan demikian, dokumen yang dipublikasikan ke dunia dapat membocorkan informasi yang dapat digunakan untuk tujuan jahat.