WINDOWS FORENSICS

NAMA : Feri Harjulianto

NIM : 23223323

Patrick melaporkan bahwa laptopnya telah diretas oleh hacker, saya ditugaskan untuk
melakukan analisis terhadap image PC milik Patrick. Saya diberikan bundle file imaging
milik PC Patrick dengan detail file sebagai berikut

No Nama File MD5 Hash

1 Laptop1Final.E01 85fac63af9bfc341f0567e8758e8c35c
2 Laptop1Final.E02 482659e7e0f5c33a508d48bc2dc11bac
3 Laptop1Final.E03 6568cda005bdd3a4b7bf163a36c68194
4 Laptop1Final.E04 9396cbbe2f225bf6c1Ne93de073afca
5 Laptop1Final.E05 6a0426928d1fa7a47875be9df9d0a7c7
6 Laptop1Final.E06 8122949d18563bb1b08d19d58f9bafeb
7 Laptop1Final.E07 d11d7a5dce5bf1bebb1b90e8f879a819
8 Laptop1Final.E08 f61e97cda1f833f4e0e6869Naeaea85
9 Laptop1Final.E09 dfee51742f22cb759a7b1e5b6beebd49
10 Laptop1Final.E10 3f8d0b0fa47cb562e30f5f5c2ac6b5fa
11 Laptop1Final.E11 d5a721d1c25b678facf2b82afed7fe1d
12 Laptop1Final.E12 8478406582930f3428a00a571a8aaf9d
13 Laptop1Final.E13 bd832bc858244fd798e11e3c1765f336
14 Laptop1Final.E14 ef522e02c6ab714ba1f8dd93b3bcece8
15 Laptop1Final.E15 c7961c9a319db01b784dbc66502eeac8
16 Laptop1Final.E16 d2aa05b9d91d39bc83c0ae684d838232
17 Laptop1Final.E17 d641b7dc04bf832ca82ada699d3a3694
18 Laptop1Final.E18 0e9e403fe1150f099a6a4a28270ed409
19 Laptop1Final.info ac103ccccea051cc5353fbf81bb1b831

Patrick sepertinya seorang gamers, yang sangat menyukai Minecraft. Hal tersebut terbukti
bahwa Patrick memiliki server Minecraft sendiri yang diinstall di PC miliknya. Terlihat pada
04 – 06 Februari 2022, Patrick mencari informasi seputar Minecraft server.

Patrick mulai mencurigai adanya peretasan terhadap perangkatnya pada tanggal 12 Februari
2022 jam 06:54:52, dimana pada jam tersebut antivirus windows defender milik Patrick
mendeteksi adanya malicious program yang running.
Dari hasil Analisa log menggunakan autopsy, terlihat windows defender mendeteksi adanya
backdoor powershell dan TrojanDropper.VBS/Ploty.A yang berlokasi di
C:\Users\Patrick\AppData\Local\Temp\ folder.

Setelah itu, Patrick berusaha untuk mencari informasi terkait bagaimana cara mengetahui
PC di hack dengan menggunakan google pada tanggal 12 Februari 2022 jam 08:21
Pada list windows users, juga ditemukan user yang baru dibuat pada tanggal 12 Februari
2022 jam 08:29:43 dengan nama user minecraftsteve

Setelah saya mencari tau, terdapat celah keamanan pada Minecraft dengan java version.
Kemudian untuk memastikan hal tersebut, saya melakukan Analisa terhadap log file pada
Minecraft server pada PC Patrick.

Setelah melakukan ekstraksi, ditemukan bahwa seseorang dengan nickname game

Minecraft n30forever melakukan percobaan hacking dengan exploit Log4jRCE pada
perangkat PC milik patrick
Saya juga menemukan sebuah file bat yang berlokasi di C:\User\Patrick\lolololol\matrix.bat
yang sepertinya dibuat oleh peretas untuk menjahili Patrick.

Adapun kesimpulan dari analisis windows forensics ini sebagai berikut :

1. bukti bahwa patrick mencurigai bahwa laptopnya telah diretas dengan

ditemukannya user windows baru dengan nama minecraftsteven, adanya trojan,
backdoor serta log exploitasi pada server Minecraft milik Patrick.
2. Patrick mulai mencurigai laptopnya telah diretas pada saat windows defender PC
Patrick mendeteksi adanya trojan dan backdoor pada tanggal 12 Februari 2022 jam
06:54:52
3. Indikasi telah diretasnya laptop patrick menurut patrick setelah windows defender
PC Patrick mendeteksi adanya trojan dan backdoor pada tanggal 12 Februari 2022
jam 06:54:52
4. indikasi menurut patrick tersebut benar setelah ditelusuri ditemukannya user
windows baru dengan nama minecraftsteven, adanya trojan, backdoor serta log
exploitasi pada server Minecraft milik Patrick.
5. Indikasi lainnya ditemukan file bat di folder user milik Patrick