LAPORAN TUGAS BESAR MATA KULIAH

KOMPUTER FORENSIK

ARIANTO ANGGORO 1103140148

DESTI MINA RAHAYU 1103144027

ILHAM MAJID RABBANI 1103142073

KUNCORO TRIANDONO MUKTI 1103144126

LUTHFI ABDUL HAKIM 1103144133

TAUFIQ ARI WIBOWO 1103144069

S1 SISTEM KOMPUTER

FAKULTAS TEKNIK ELEKTRO

UNIVERSITAS TELKOM

2018
 ABSTRAK

Investigasi digital forensik bertujuan untuk mengumpulkan dan menganalisis bukit-

bukti yang diperlukan untuk mendemonstrasikan hipotesis-hipotesis yang
berpotensi sebagai kejahatan digital. Meskipun sudah tersedianya berbagai macam
tools yang dapat digunakan untuk menginvestigasi yang berkaitan dengan forensik
digital, seorang investigator atau orang yang menyelidiki suatu kasus harus
memulainya dari awal, memberikan hipotesis-hipotesis yang mungkin berkaitan
dan juga menganalisis data dalam jumlah yang besar. Makalah ini mengusulkan
bagaimana dan apa saja tools yang dipakai untuk bisa mendapatkan bukti-bukti dari
suatu kasus. Diketahui terdapat insiden serangan pada perusahaan. Dari peringatan
di IDS jaringan perusahaan, didapati komputer/server ENG melakukan komunikasi
melalui koneksi port 80 ke sebuah IP address yang telah diketahui sebagai bad IP
address. Pengumpulan bukti-bukti yang ada akan memudahkan pencarian dan
identifikasi penyerang tersebut, sehingga insiden tidak terulang lagi.
 DAFTAR ISI

BAB I .................................................................................................................................. 4
1. Latar Belakang Masalah ...................................................................................... 4
2. Rumusan Masalah ................................................................................................ 4
3. Tujuan .................................................................................................................... 4
BAB II ................................................................................................................................ 5
2.1. Prosedur Pemeriksaan........................................................................................... 5
2.1.1. Tools yang digunakan ........................................................................................... 5
2.1.2. Prosedur Pengerjaan.............................................................................................. 5
BAB III............................................................................................................................. 19
LAMPIRAN..................................................................................................................... 20
 BAB I
PENDAHULUAN

1. Latar Belakang Masalah

Investigasi digital forensi adalah aktivitas yang berhubungan dengan

pemeliharaan, identifikasi, pengambilan/penyaringan, dan dokumentasi bukti
digital dalam kejahatan computer [1]. Dalam kasus ini, telah ditemukan bukti digital
sebuah penyerangan terhadap suatu perusahaan yang memiliki 4 buah server.
Adapun server yang diserang adalah server ENG melalui port 80. Untuk
mengetahui penyerang dilakukan investigasi forensic terhadap bukti digital
tersebut.

2. Rumusan Masalah

Adapun masalah yang ditemui adalah :

• Bagaimana proses analisa image memori (RAM) dari empat

komputer/server yang terserang?
• Tools apa saja yang digunakan untuk mebantu proses Analisa?
• Bagaimana tipe serangan yang dilancarkan?
• Bagaimana hasil Analisa 4 server tersebut?

3. Tujuan

Adapun tujuan investigasi ini adalah :

• Menentukan komputer/server mana saja yang dicurigai menjadi korban

serangan.
• Mengidentifikasi siapa yang melakukan serangan, serangan apa yang
dilakukan, kapan dilakukan serangan, dan bagaimana penyerangan
terjadi.
• Menentukan apakah insiden yang terjadi sudah teratasi, atau masih ada
komputer/server lain yang mungkin masih terlibat berdasarkan hasil
analisa
 BAB II
TINJAUAN MASALAH

2.1. Prosedur Pemeriksaan

2.1.1. Tools yang digunakan
Tools yang digunakan dalam investigasi ini adalah :

• HxD 1.7.7.0
• Exiftool 10.90
• WinRAR 5.02
• Volatility 2.4

2.1.2. Prosedur Pengerjaan

• Penerimaan barang bukti

Barang bukti didapatkan dari link yang diberikan oleh dosen

pengampu mata kuliah pada tanggal 13 April 2018 dengan keterangan
sebagai berikut

Nama File : tubes.mp4

File Ekstensi : .mp4

• Pemindaian barang bukti 1

Barang bukti yang telah diterima dipindai menggunakan HxD untuk

mengetahui ekstensi asli dari file tersebut. Adapun setelah dipindai
ditemukan bahwa ekstensi file tersebut adalah “.gz”.
• Pemindaian barang bukti 2

Kemudian file tersebut dibuka dan ditemukan file dengan

keterangan sebagai berikut:

Nama file : tubes

File ekstensi : tidak ada

Dikarenakan tidak terdapat keterangan ekstensi file tersebut, maka

dilakukan pemindaian dengan menggunakan exiftool. Dan didapat
informasi sebagai berikut:

Diketahui bahwa file tersebut memiliki ekstensi “.tar”.

• Identifikasi awal

Setelah dibuka file tersebut didapatkan beberapa folder, clue, sebuah

file dengan ekstensi “.pcap” dan readme.
 Adapun file yang bernama clue dan readme dapat dibuka dengan
menggunakan notepad dan didapatkan keterangan sebagai berikut:

File Clue

File Readme

Diketahui bahwa file clue berisi keterangan checkpoint investigasi

forensik sedangkan file readme berisi kronologi singkat penyerangan
terhadap 4 server di sebuah perusahaan.

Adapun isi file “netdump.pcap” dipindai menggunakan laman

www.packettotal.com dan didapatkan hasil Analisa sebagai berikut:
 File tersebut berisi keterangan serangan yang terjadi terhadap 4 buah
server yang dimiliki perusahaan tersebut. Adapun penyerang memiliki
alamat IP 172.16.150.20 dan alamat IP yang ditarget oleh penyerang
adalah 58.64.132.141 melalui port 80 atau port yang digunakan oleh
computer untuk mengirimkan dan menerima data melalui web.

• Memindai Komputer/ server

Pemindaian pertama dilakukan dengan membuka file mendump.bin

ENG sebagai berikut:

Dari hasil pemindaian, didapatkan bahwa ENG memiliki Profile

WinXPSP2x86, WinXPSP3x86, ENG memiliki IP 172.16.150.20 dan
melakukan koneksi terhadap 58.64.132.141 melalui port 80 dengan PID
1024.

Pemindaian kedua dilakukan dengan membuka file mendump.bin

FLD sebagai berikut:
 Dari hasil pemindaian, didapatkan bahwa FLD Profile
WinXPSP2x86, WinXPSP3x86, FLD memiliki IP 172.16.223.187 dan
melakukan koneksi terhadap 58.64.132.141 melalui port 80 dengan PID
1032

Pemindaian ketiga dilakukan dengan membuka file mendump.bin

IIS sebagai berikut:

Dari hasil pemindaian, didapatkan bahwa IIS memiliki Profile

Win2003SP2x86, IIS memiliki IP 172.16.223.47 dan tidak ada koneksi
dengan port 80.

Pemindaian selanjutnya dilakukan dengan membuka file

mendump.bin DC sebagai berikut:
 Dari hasil pemindaian, didapatkan bahwa DC memiliki Profile
Win2003SP2x86, DC memiliki IP tetap yang memungkinkan DC
merupakan Server. Dan tidak terdapat koneksi dengan Port 80.

Dari beragam hasil analisa di atas, serta meninjau kepada clue yang
diberikan, diketahui bahwa pada komputer ENG alamat IP
172.16.223.47:20 adalah IP penyerang dan alamat IP 58.64.132.141
adalah IP korban dengan PID 1024, hal ini dikarenakan ketika
pemindaian berlangsung telah ditemukan kedua IP tersebut melakukan
interaksi dengan port 80 dan menggunakan PID 1024.

• Analisa lanjut terhadap komputer

Analisa pertama dilakukan pada komputer ENG sebagai berikut:

 Dari hasil analisa didapatkan bahwa ada aplikasi yang berjalan di
PID 1024 yaitu svchost.exe.

Kemudian dicari aplikasi yang berjalan dengan PPID 1024 sebagai

berikut:

Dari hasil analisa ditemukan bahwa aplikasi yang berjalan pada

PPID 1024 yaitu wuauclt.exe dan wc.exe.

Karena ditemukan adanya aplikasi yang berjalan di PPID 1024 maka

dilakukan pencarian virus dengan melakukan dump pada file .DLL yang
berjalan dengan PID 1024 dan mengesktrasi file tersebut sebagai
berikut:

Dari hasil pemindaian, terdapat sebuah modul dengan nama

svchost.exe

Setelah melakukan ekstrasi file .DLL dilakukan pengecekan virus

sebagai berikut:
Setelah diekstrak windows defender segera melaporkan terdapat threat
berbahya dan didapatkan file dengan nama
module.1024.20b3da0.10000000.dll merupakan virus, dan memiliki
metafile dengan nama lain diantaranya 6to4ex.dll, svchost.dll

Kemudian dilakukan pemeriksaan pada file 6to4ex.dll yang telah

diekstrak.

Dari hasil pemeriksaan, ditemukan bahwa file 6to4ex.dll berjalan

pada svchost.exe dan memiliki module name yang sama dengan
module.1024.20b3da0.10000000.dll, dari sini kita mengetahui jika file
6to4ex.dll merupakan virus yang berjalan pada svchost.exe

Pemeriksaan dilanjutkan dengan menggunakan Strings dan

pencarian IP 58.64.132.141 melalui Grep/ Findstr pada komputer ENG,
Berdasarkan informasi yang didapatkan saat melakukan connscan pada
setiap PC, didapatkan IP 58.64.132.141 melakukan koneksi melalui port
80 kepada PC ENG dan FLD,
 Dari hasil pemeriksaan, Terdapat log pada email dengan pengirim
d0793h <d0793h@petro-markets.info>, nama pengirimin kemungkinan
telah terencrypt sehingga tidak diketahui.

Berdasarkan informasi di atas pencarian email yang terdapat di

dalam mendump.bin ENG dilakukan dengan menggunakan autopsy
sebagai berikut:

Didapatkan log mail dan terdapat email dari “Security Departement”

<isd@petro-markets.info> kepada amirs, callb dan wrightd dengan isi
pesan yang meminta untuk mendownload suatu file.

Kemudian dilakukan pemeriksaan pada history internet explorer

dengan volatility sebagai berikut:
 User CALLB membuka tautan
http://58.64.132.8/download/Symantec-1.43-1.exe pada pukul 23:01:53
UTC.

Kemudian dicari tahu apakah terdapat file Symantec-1.43-1.exe

pada komputer ENG

Dari hasil pencarian didapatkan file Symantec.exe dieksekusi pukul

23:01:54 UTC dan secara bersamaan file virus 6to4ex.dll muncul, dapat
disimpulkan bahwa Symantec merupakan file dropper.

Berdasarkan informasi yang didapat, terdapat sebuah email yang

dikirimkan terhadap salah seorang korban yang dikirimi email phising
oleh penyerang, selanjutnya dilakukan pencarian penggunaan komputer
yang mengunduh file Symantec.exe tersebut.

User AMIRS atau FLD mengunduh file dropper, sedangkan

komputer IIS dan DC tidak mengundah file tersebut. Dapat disimpulkan
sementara bahwa komputer FLD dan ENG telah terserang.

Kemudian pemeriksaan dilakukan pada PC FLD untuk mengetahui

apakah PC ini terserang virus Gh0ST, dengan cara melakukan dump
pada file *.dll pada PID 1032.
 Didapatkan kesimpulan bahwa komputer FLD terserang Gh0st
dikarenakan terdapat file 6to4ex.dll yang merupakan virus backdoor.

Selanjutnya mencari proses yang terhubung dengan PID 1032

sebagai berikut:

CMD berjalan pada proses svchost.exe yang sebelumnya telah

diketahui jika svchost.exe telah terkena serangan.

Dikarenakan hal tersebut, maka dicari perintah yang dijalankan

menggunakan CMD pada komputer FLD.

Pada proses CMDSCAN ditampilkan bahwa pengguna mengakses

folder ITSHARE pada server pusat (DC) dan menyalin file mdd.exe lalu
menjalankan perintah untuk mengambil informasi pada PC ENG. Selain
itu terdapat file wc.exe dan ps.exe yang terhubung pada PID 608 sama
seperti CMD. Maka dapat diasumsikan jika tools yang digunakan oleh
penyerang diantaranya ps.exe, wc.exe, mdd.exe.

Selanjutnya yaitu Mencari file ps.exe, wc.exe atau mdd.exe yang

berjalan pada komputer DC.
 Tidak terdapat file yang memungkinkan terjadinya serangan atau
file dropper dan backdoor. Dapat disimpulkan jika komputer DC tidak

terkena serangan.

Setelah ditemukan hal tersebut, selanjutnya mencari username yang

digunakan, menggunakan command hivelist.

Didapatkan folder CALLB yang merupakan user, SAM dan system

yang bisa digunakan untuk mendapatkan hash dan virtual id yang
dimiliki SAM dan system.

Selanjutnya melakukan dump hash pada id 0xe1461008 dan

0xe1035b60 dengan command hashdump -y 0xe1035b60 -s
0xe1461008 > hash.txt lalu disimpan pada file hash.txt.
 Dari file hash.txt didapatkan user pada komputer ENG yaitu
Administrator, dan sysbackup

Langkah selanjutnya adalah mencari file Script *.bat yang

digunakan untuk menjalankan tools mdd.exe, ps.exe, wc.exe, dll pada
komputer ENG, FLD, DC dan IIS.

Telah ditemukan Script yang ada pada setiap komputer diantaranya :

• FLD = system3.bat, system5.bat, system6.bat
• ENG = system5.bat
• IIS = system1.bat, system5.bat
Langkah selanjutnya adalah Mengekstrak isi dari setiap *.bat, dengan
menggunakan command v.exe -f memdump.bin dump
profile=WinXPSP2x86 filescan | grep .bat selanjutnya mengambil ID
pada file system.bat dan menyimpan file dengan cara dumpfiles -Q [ID file]
-D/
 Ditemukan file sebagai berikut:
• System1.bat : -
• System2.bat : -
• System3.bat : -
• System4.bat : -
• System5.bat : menyalin wc.exe dari c:/windows/webui/ ke
c:/windows/system32
• System6.bat : -
Selanjutnya menggunakan file memdump untuk mendapatkan file
tools yang digunakan oleh penyerang. Dengan cara menggunakan command
v.exe -f memdump.bin dump profile=WinXPSP2x86 filescan | grep
webui

Tools yang digunakan diantaranya PSEXEC (ps.exe) Windows

Credentials Editor (wc.exe) WinRAR (ra.exe) ScanLine (sl.exe) gsecdump
(gs.exe).
Selanjutnya adalah Mencari file apa saja yang dicuri pada setiap
computer

File yang diambil oleh penyerang diantaranya svchost.dll,

netuse.dll, https.dll, system.dll, netstat.dll.
 BAB III
KESIMPULAN

Berdasarkan hasil analisa yang telah dilakukan, penyerang atau yang

mengirimkan seranga yaitu Security Departement dengan IP 58.64.132.141 dan
serangan dikirimkan melalui phising Email kepada amirs@petro-market.org,
callb@petro-market.org, wrightd@petro-market.org yang berhasil terkirim pada
hari senin 26 november 2012 pukul 14:00:08 -0600. lalu diuntuh oleh user Callb
atau ENG pukul Senin, 26 November 2012 pukul 23:01:53 UTC dan dieksekusi
pukul 23:01:54 UTC yang dapat dibuktikan pada file timeline ENG dan histori IE.

Nama file Dropper yaitu Symantec-1.43-1.exe yang mengandung file

backdoor bernama Gh0st. setelah terpasang backdoor menggunakan proses
svchost.exe dengan PI\D 1024 pada ENG dan PID 1032 pada FLD, username yang
digunakan untuk melakukan serangan adalah Callb. serangan ini menggunakan
beberapa script dengan *.bat yang diletakan pada setiap perangkat diantaranya pada
ENG terdapat file FLD system3.bat, system5.bat, system6.bat. ENG, system5.bat.
IIS, system1.bat, system4.bat, system5.bat.

Dari beragam hasil analisa di atas, serta meninjau kepada clue yang
diberikan, diketahui bahwa pada komputer ENG dan FLD terdapat komunikasi
dengan alamat IP 58.64.132.141 melalui port 80 (HTTP) menggunakan PID 1024
pada komputer ENG dan 1032 pada komputer FLD. PID tersebut merupakan proses
yang terserang oleh backdoor.
 LAMPIRAN
# Data Tools Tahap dilakukan Gambar/Bukti Output

Mencari file ekstensi sebenarnya

1 HxD
dari format ini

Mencari file ekstensi sebenarnya

2 exiftool
dari format ini

3 WinRar Mengekstraksi file didalam arsip -

 Mendapatkan informasi dan
4 Notepad Membaca isi dari file
bantuan

5 Notepad Membaca isi dari file Mendapatkan kasus

Waktu serangan dan

informasi traffic jaringan

Packet Mendapatkan infromasi terkait isi

6
Total dari file dump IP Penyerang 172.16.150.20
IP Target 58.64.132.141
Port 80

Profile WinXPSP2x86,
WinXPSP3x86, ENG
memiliki IP 172.16.150.20
Membuka file memdump.bin ENG
dan melakukan koneksi
untuk mendapatkan IP
terhadap 58.64.132.141
melalui port 80 dengan PID
1024
7 Volatility
Profile WinXPSP2x86,
WinXPSP3x86, FLD
memiliki IP 172.16.223.187
Membuka file memdump.bin FLD
dan melakukan koneksi
untuk mendapatkan IP
terhadap 58.64.132.141
melalui port 80 dengan PID
1032
 Profile Win2003SP2x86,
Membuka file memdump.bin IIS IIS memiliki IP
untuk mendapatkan IP 172.16.223.47 dan tidak ada
koneksi dengan port 80

Profile Win2003SP2x86,
Membuka file memdump.bin DC IIS memiliki IP
untuk mendapatkan IP 172.16.150.10 dan tidak ada
koneksi dengan port 80

Melakukan analisis pada computer

Svchost.exe berjalan pada
ENG dengan Mencari tahu aplikasi
PID 1024
yang berjalan pada PID 1024

Aplikasi yang berjalan pada

Mencari aplikasi yang berjalan
PPID 1024 yaitu
dengan PPID 1024
wuauclt.exe dan wc.exe
Mencari virus dengan melakukan
dump pada file *.DLL yang
berjalan dengan PID 1024 dan
mengekstrak file tersebut
Setelah melakukan ekstraksi file
*.dll, dilakukan pengecekan virus
Mencari tahu apa nama backdoor
berdasarkan hasil scan dari virus
total
Melakakukan pemeriksaan pada file
6to4ex.dll yang telah diekstrak
Terdapat modul dengan
nama svchost.exe pada file
dll
Setelah diekstrak windows
defender segera melaporkan
terdapat threat berbahya dan
didapatkan file dengan
nama
module.1024.20b3da0.1000
0000.dll merupakan virus,
dan memiliki metafile
dengan nama lain
diantaranya 6to4ex.dll,
svchost.dll
Setelah dilakukan pencarian
ditemukan jika nama
backdoor ini adalah Gh0st
Ternyata file 6to4ex.dll
berjalan pada svchost.exe
dan memiliki module name
yang sama dengan
module.1024.20b3da0.1000
0000.dll, dari sini kita
mengetahui jika file
6to4ex.dll merupakan virus
yang berjalan pada
svchost.exe
 Menggunakan Strings dan
pencarian IP 58.64.132.141 melalui
Grep/ Findstr pada komputer ENG,
Berdasarkan informasi yang
didapatkan saat melakukan
connscan pada setiap PC,
didapatkan IP 58.64.132.141
melakukan koneksi melalui port 80
kepada PC ENG dan FLD,
Mencari informasi tentang email
Autopsy
yang terdapat pada memdump.bin
Melakukan pemeriksaan pada
Volatility
histori internet explorer
Mencari tahu apakah terdapat file
8 Atom
Symantec-1.43-1.exe pada PC ENG
Terdapat log pada email
dengan pengirim d0793h
<d0793h@petro-
markets.info>, nama
pengirimin kemungkinan
telah di encrypt sehingga
tidak diketahui.
Mendapatkan log mail dan
terdapat email dari
“Security Departement”
<isd@petro-markets.info>
kepada amirs, callb dan
wrightd dengan isi pesan
yang meminta untuk
mendownload suatu file.
User CALLB membuka
tautan
http://58.64.132.8/download
/Symantec-1.43-1.exe pada
pukul 23:01:53 UTC
File Symantec.exe
dieksekusi pukul 23:01:54
UTC dan secara bersamaan
file virus 6to4ex.dll muncul,
dapat disimpulkan jika
Symantec merupakan file
dropper.
 Berdasarkan informasi yang didapat
dari email terdapat email ada 3
orang yang dikirimkan email
phising, selanjutnya dilakukan
pencarian PC yang mendownload
file dropper (Symantec.exe)
tersebut
Melakukan pemeriksaan pada PC
FLD untuk mengetahui apakah PC
ini terserang virus Gh0ST, dengan
cara melakukan dump pada file
*.dll pada pid 1032.
10 Volatility
Mencari proses yang terhubung
dengan PID 1032
Mencari perintah yang dijalankan
menggunakan CMD pada komputer
FLD
User AMIRS atau FLD
mengunduh file dropper,
sedangkan PC IIS dan DC
tidak mengundah file
tersebut. Dapat disimpulkan
sementara jika PC FLD dan
ENG telah terserang
Didapatkan kesimpulan jika
PC FLD terserang Gh0st
dikarenakan terdapat file
6to4ex.dll yang merupakan
virus backdoor.
CMD berjalan pada proses
svchost yang sebelumnya
telah diketahui jika
svchost.exe terkena
serangan
Pada proses CMDSCAN
ditampilkan jika pengguna
mengakses folder
ITSHARE pada server
pusat (DC) dan menyalin
file mdd.exe lalu
menjalankan perintah untuk
mengambil informasi pada
PC ENG. Selain itu terdapat
file wc.exe dan ps.exe yang
terhubung pada PID 608
sama seperti CMD. Maka
dapat diasumsikan jika tools
yang digunakan oleh
penyerang diantaranya
ps.exe, wc.exe, mdd.exe.

Mencari file ps.exe, wc.exe atau
mdd.exe yang berjalan pada
komputer DC
Mencari file ps.exe, wc.exe, atau
mdd.exe yang berjalan pada
komputer IIS
Mencari username yang digunakan,
menggunakan command hivelist
Tidak terdapat file yang
memungkinkan terjadinya
serangan atau file dropper
dan backdoor. Dapat
disimpulkan jika komputer
DC tidak terkena serangan.
Tidak terdapat file mdd.exe
atau wc.exe tetapi terdapat
aplikasi PSEXESVC.exe
yang berjalan pada saat
terjadi penyerangan.
Mendapatkan folder
CALLB yang merupakan
user, SAM dan system yang
bisa digunakan untuk
mendapatkan hash nya
dengan virtual id nya.
 Melakukan dump hash pada id
0xe1461008 dan 0xe1035b60
dengan command hashdump -y
0xe1035b60 -s 0xe1461008 >
hash.txt lalu disimpan pada file
hash.txt
Dari file hash.txt didapatkan
user pada komputer ENG
yaitu Administrator, dan
sysbackup

Script yang ada pada setiap

komputer diantaranya
FLD
system3.bat
Mencari file Script *.bat yang system5.bat
digunakan untuk menjalankan tools system6.bat
mdd.exe, ps.exe, wc.exe, dll pada ENG
komputer ENG, FLD, DC dan IIS system5.bat
IIS
system1.bat
11 Atom system4.bat
system5.bat
System1.bat : -
Mengekstrak isi dari setiap *.bat,
System2.bat : -
dengan menggunakan command
System3.bat : -
v.exe -f memdump.bin dump
System4.bat : -
profile=WinXPSP2x86 filescan |
System5.bat : menyalin
grep .bat selanjutnya mengambil
wc.exe dari
ID pada file system.bat dan
c:/windows/webui/ ke
menyimpan file dengan cara
c:/windows/system32
dumpfiles -Q [ID file] -D/
System6.bat : -
Tools yang digunakan
Menggunakan file memdump untuk
diantaranya
mendapatkan file tools yang
PSEXEC (ps.exe)
digunakan oleh penyerang. Dengan
Windows Credentials Editor
cara menggunakan command v.exe
(wc.exe)
-f memdump.bin dump
WinRAR (ra.exe)
profile=WinXPSP2x86 filescan |
ScanLine (sl.exe)
grep webui
gsecdump (gs.exe)
12 volatility
File yang diambil oleh
penyerang diantaranya
Mencari file apa saja yang dicuri svchost.dll,
pada setiap komputer netuse.dll,
File pump1.dwg ditemukan pada https.dll,
system.dll,
netstat.dll.