Sam – Ðika

Sam

SAM (Security Account Manager) adalah registry hive yang sangat krusial dalam forensik Windows karena menyimpan database akun pengguna lokal. Hive ini mengelola kredensial keamanan, grup lokal, dan informasi login yang digunakan untuk autentikasi pada sistem lokal.

Tip

Tips Akses: File SAM tidak dapat disalin langsung saat sistem berjalan karena dikunci oleh kernel. Gunakan tool seperti KAPE, FTK Imager, atau Velociraptor untuk mengambilnya dari jalur: C:\Windows\System32\config\SAM.

Field	Value
Location / Path	`C:\Windows\System32\config\SAM`
Loaded under	`HKEY_LOCAL_MACHINE\SAM`
Purpose	Menyimpan database akun pengguna lokal dan konfigurasi keanggotaan grup (privilese).
Key Data	Users: Informasi detail tiap akun (RID, Last Login, Login Count). Aliases (Groups): Daftar grup lokal seperti Administrators, Users, dan Guests. Password Hashes: Hash NTLM yang terenkripsi (membutuhkan hive SYSTEM untuk ekstraksi).
Forensic Value	Sangat Tinggi; mengidentifikasi siapa saja pengguna sistem, kapan terakhir login, dan siapa yang memiliki hak akses administrator.
Example

Artefak dalam SAM

Local User Accounts (Users)

Bagian ini menyimpan identitas unik untuk setiap pengguna lokal. Setiap pengguna diidentifikasi dengan RID (Relative Identifier), seperti RID 500 untuk Administrator default.

Important

Nilai Forensik Utama: Anda dapat melihat kapan sebuah akun dibuat, kapan terakhir kali login sukses, serta jumlah percobaan login yang gagal. Ini krusial untuk melacak aktivitas akun mencurigakan atau serangan brute-force.

Field	Value
Location / Path	`SAM\Domains\Account\Users`
Purpose	Menyimpan metadata detail terkait akun pengguna individu.
Key Data	Username, RID (500, 501, 1001, dsb), Last Login Timestamp, Password Last Set, dan Account Expiry.
Forensic Value	Menentukan garis waktu aktivitas pengguna dan status keaktifan akun.
Notes	Value 'F': Berisi struktur biner untuk login timestamps dan status bendera akun (Account Flags). Value 'V': Berisi informasi profil pengguna dan data kredensial terenkripsi.
Example

Local Groups & Memberships (Aliases)

Bagian Aliases mencatat grup keamanan yang ada di sistem dan siapa saja anggota (SID/User) yang tergabung di dalamnya.

Caution

Eskalasi Hak Akses: Selalu periksa grup Administrators (00000220). Jika Anda menemukan SID pengguna yang tidak dikenal di grup ini, itu adalah indikasi kuat adanya eskalasi hak akses atau akun backdoor.

Field	Value
Location / Path	`SAM\Domains\Builtin\Aliases`
Purpose	Menentukan hak akses yang diberikan kepada pengguna melalui keanggotaan grup.
Key Data	Group Name (Administrators, Remote Desktop Users, dsb) dan daftar User SID yang menjadi anggotanya.
Forensic Value	Mengetahui pengguna mana yang memiliki kontrol penuh atas sistem.
Notes	Digunakan untuk mengidentifikasi akun yang memiliki kontrol penuh terhadap sistem dan berpotensi digunakan untuk eskalasi privilese.
Example

Password Hashes (NTLM)

Meskipun SAM menyimpan kredensial, Windows tidak menyimpan password dalam bentuk teks polos (plain text), melainkan dalam bentuk hash NTLM.

Warning

Penting (Dependency): Data hash dalam SAM dienkripsi menggunakan BootKey. Anda WAJIB memiliki file hive SYSTEM dari mesin yang sama untuk dapat mendekripsi dan mengekstrak hash ini.

Field	Value
Hash Type	NTLM (MD4 based)
Storage Location	`SAM\Domains\Account\Users\[RID]\V`
Key Requirement	Membutuhkan BootKey dari hive `SYSTEM` untuk dekripsi. (File `SAM` + File `SYSTEM)`
Forensic Value	Sangat Tinggi; Digunakan untuk mendeteksi penggunaan password yang sama (Password Reuse) atau audit keamanan.
Encryption	Dienkripsi menggunakan algoritma RC4 atau AES (pada versi Windows terbaru).

Ekstraksi Hive secara Live (Registry Dumping)

Dalam skenario investigasi, kita bisa mengambil salinan hive langsung dari sistem yang sedang berjalan dengan hak akses Administrator menggunakan perintah reg save.

Warning

Noted: Menjalankan perintah ini akan meninggalkan jejak di Prefetch dan Event Logs. Pastikan Anda mendokumentasikan aktivitas ini agar tidak disalahartikan sebagai aktivitas serangan (Credential Dumping).

Perintah Command Prompt (Admin)

Eksekusi perintah berikut untuk menduplikasi hive ke dalam file fisik di drive C:\..\Dekstop:

# Mengambil database akun lokal (SAM)
reg save hklm\sam "%USERPROFILE%\Desktop\SAM"

# Mengambil SYSTEM hive (mengandung BootKey / SysKey)
reg save hklm\system "%USERPROFILE%\Desktop\SYSTEM"

reg save hklm\sam
Mengekstrak hive SAM yang berisi database akun pengguna lokal Windows, termasuk metadata akun dan kredensial dalam bentuk hash terenkripsi.
reg save hklm\system
Mengekstrak hive SYSTEM yang menyimpan BootKey (SysKey), yaitu kunci yang diperlukan untuk mendekripsi data kredensial di dalam SAM.
Output Location
File hasil ekstraksi disimpan di Desktop user yang sedang login, sehingga mudah dipindahkan untuk analisis offline.

Tools yang Direkomendasikan untuk Analisis SAM

Warning

“Gunakan tool yang memiliki fitur parsing otomatis agar tidak perlu membaca data biner secara manual atau Pun Dump Hash.”

Tool	Deskripsi
Registry Explorer	Tool GUI terbaik untuk mem-parsing hive SAM secara otomatis ke dalam tab “User Accounts” yang mudah dibaca (seperti pada referensi gambar).
SAMParser	Script spesifik untuk mengekstrak informasi detail pengguna dan grup ke dalam format laporan yang ringkas.
RECmd	Versi command-line dari Registry Explorer yang berguna untuk pemrosesan file SAM dalam jumlah banyak secara otomatis secara massal.
Impacket (secretsdump)	Tool Python terbaik untuk dumping hash secara offline.
Mimikatz	Dapat mengekstrak hash langsung dari memori atau file hive.
Hashcat / John	Tool untuk melakukan cracking (brute-force) pada hash.

Ringkasan Visual (Mindmap)

Last updated on April 11, 2026

Software System