Skip to content
Notes
Digital Forensics
Windows Forensics
Registry
System

System

SYSTEM adalah registry hive inti Windows yang menyimpan konfigurasi hardware, driver, service, network, serta histori perangkat eksternal (USB). Hive ini bersifat system-wide (bukan per-user) dan sangat penting dalam investigasi forensik karena merekam interaksi antara sistem operasi dan perangkat keras.

Tip

Tips Akses: Hive ini terletak di level sistem dan selalu terkunci saat Windows aktif. Gunakan tool ekstraksi seperti KAPE atau FTK Imager untuk mengambil file dari jalur: C:\Windows\System32\Config\SYSTEM. Catatan: Dalam registry viewer, carilah folder ControlSet001 (yang biasanya dipetakan sebagai CurrentControlSet saat sistem berjalan).

FieldValue
Location / Path
C:\Windows\System32\Config\SYSTEM
Loaded underHKEY_LOCAL_MACHINE\SYSTEM
PurposeMenyimpan konfigurasi hardware, kontrol layanan (services), dan pengaturan sistem global.
Key Data
  • ShimCache (AppCompatCache): Digunakan untuk melacak informasi kompatibilitas aplikasi; dapat membuktikan keberadaan file dan dalam kondisi tertentu mengindikasikan eksekusi aplikasi.
  • Activity Moderator (BAM): Digunakan untuk melacak aplikasi yang berjalan di background atau digunakan dalam skenario low-power; menyediakan bukti kuat eksekusi aplikasi.
  • Windows Services : Berisi informasi seluruh layanan Windows dan driver sistem, termasuk startup type dan path binary.
  • MountedDevices: Digunakan untuk memetakan drive letter (mis. E:, F:) ke perangkat atau volume yang pernah terhubung.
  • Enum USB / USBSTOR: Mencatat histori perangkat USB yang pernah terhubung, termasuk Vendor ID, Product ID, Serial Number, serta waktu pertama dan terakhir terpasang.
  • TCP/IP Interfaces: Menyimpan detail konfigurasi network interface seperti IP address, DNS server, default gateway, dan DHCP lease time.
  • System Configuration Details: Informasi konfigurasi sistem seperti time zone, computer name, last shutdown time, network interfaces, dan network history.
Forensic ValueSangat Tinggi; esensial untuk membuktikan koneksi hardware eksternal, konfigurasi jaringan, dan timeline aktivitas sistem.
Example

Artefak dalam Hive System

ShimCache (AppCompatCache)

ShimCache, juga dikenal sebagai AppCompatCache, adalah fitur Windows yang dirancang untuk menjaga kompatibilitas aplikasi lama pada sistem operasi yang lebih baru. Dari perspektif forensik, artefak ini sangat krusial karena mencatat daftar file executable yang pernah ada di sistem, baik yang dieksekusi maupun yang hanya sekadar “terlihat” oleh sistem.

Warning

Data Persistence: ShimCache disimpan di dalam memori (RAM) saat sistem berjalan dan hanya akan ditulis ke Registry (file SYSTEM) saat sistem melakukan shutdown atau reboot secara normal. Jika sistem mati mendadak (crash/power off), data terbaru mungkin tidak tersimpan di registry.

Tip

Analisis Offline: Pada sistem yang sedang berjalan (live), path berada di CurrentControlSet. Namun, jika menganalisis file hive secara offline, Anda harus mencari di folder ControlSet00x. Periksa kunci SYSTEM\Select\Current untuk mengetahui ControlSet mana yang aktif (misalnya jika nilainya 1, maka gunakan ControlSet001).

FieldValue
Location / Path
SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
Registry HiveSYSTEM
PurposeMengidentifikasi masalah kompatibilitas aplikasi dan melacak keberadaan file executable di disk.
Key Data
  • File Full Path: Jalur lengkap file (termasuk dari USB, Network Share, atau folder Temp).
  • Timestamps: Berisi Last Modification Time dari biner (bukan waktu eksekusi).
  • Cache Entry Position: Urutan entri (0 adalah yang terbaru) yang membantu menyusun kronologi akses file.
Forensic ValueSangat Tinggi; Digunakan untuk membuktikan keberadaan file (existence) di masa lalu, meskipun file tersebut sudah dihapus dari sistem.
Example Hive
Example Parser (AppCompatCache)

BAM (Background Activity Moderator)

Background Activity Moderator (BAM) adalah layanan Windows yang diperkenalkan pada Windows 10 (versi 1709) untuk mengontrol aktivitas aplikasi di latar belakang. Dari sisi forensik, BAM sangat reliabel karena mencatat path lengkap eksekusi dan waktu eksekusi terakhir, berbeda dengan ShimCache yang hanya mencatat waktu modifikasi file.

Tip

Analisis Offline: Karena BAM berada di hive SYSTEM, Anda harus memeriksa kunci SYSTEM\Select\Current terlebih dahulu untuk menentukan ControlSet00x mana yang sedang aktif agar data yang dianalisis adalah data terbaru.

Warning

Limitasi Artefak: BAM umumnya hanya mencatat aplikasi yang dijalankan secara lokal (lokal disk). Aplikasi dari network shares atau aplikasi berbasis konsol (CLI) tertentu seringkali tidak tercatat. Selain itu, entri akan dihapus jika file asli dihapus atau jika entri sudah lebih dari 7 hari saat proses boot.

FieldValue
Location / Path
SYSTEM\ControlSet00x\Services\bam\State\UserSettings{SID}
Registry HiveSYSTEM
PurposeMengatur penggunaan daya dan aktivitas background aplikasi Windows.
Key Data
  • Full Path: Menggunakan format device path (contoh: \Device\HarddiskVolume4...).
  • Execution Time: Data biner (REG_BINARY) yang berisi timestamp FILETIME eksekusi terakhir.
  • User SID: Mengaitkan aktivitas eksekusi ke pengguna spesifik (misal: S-1-5-21-...).
Forensic ValueMemberikan bukti kuat eksekusi aplikasi beserta waktu eksekusi terakhir yang spesifik untuk tiap user.
Example

Windows Services

Windows Services adalah program yang berjalan di latar bfelakang (background) tanpa interaksi pengguna langsung. Dalam analisis forensik, memeriksa daftar layanan sangat penting untuk mengidentifikasi teknik persistence (tahan lama) yang digunakan oleh malware, seperti mendaftarkan diri sebagai layanan baru atau memodifikasi layanan sistem yang sah.

Tip

Tips Analisis: Kunci Services berisi ratusan entri. Fokuslah pada layanan yang memiliki Start Mode bernilai 0 (Boot) atau 2 (Automatic), karena layanan inilah yang akan langsung berjalan saat sistem aktif.

Warning

Identifikasi Malware: Perhatikan kolom Image Path. Malware sering menyamar dengan nama layanan yang mirip dengan sistem (misalnya svchost.exe tapi berada di folder yang salah seperti Temp atau Downloads).

FieldValue
Location / Path
SYSTEM\ControlSet00x\Services
Registry HiveSYSTEM
PurposeMenyimpan konfigurasi seluruh layanan dan driver perangkat keras pada sistem.
Key Data
  • Service Name: Nama unik layanan (Subkey).
  • Image Path: Jalur lengkap ke file biner (executable/driver) yang dijalankan.
  • Start Mode: Menentukan bagaimana layanan dimulai (0:Boot, 1:System, 2:Auto, 3:Manual, 4:Disabled).
  • Service DLL: Jika layanan berjalan via svchost.exe, path DLL aslinya ada di subkey Parameters.
Forensic ValueSangat Tinggi; Esensial untuk mendeteksi mekanisme persistence, instalasi driver mencurigakan, atau perubahan konfigurasi sistem.
Example

MountedDevices

MountedDevices adalah artefak penting yang digunakan Windows untuk memetakan volume penyimpanan ke drive letter (seperti C:, D:, E:) atau volume GUID. Dalam forensik, kunci ini sangat berguna untuk mengidentifikasi perangkat penyimpanan eksternal (seperti USB Flash Drive atau HDD Eksternal) yang pernah terhubung ke sistem dan menentukan drive letter mana yang diberikan kepadanya.

Tip

Tips Analisis: Cari entri yang dimulai dengan \DosDevices\ untuk melihat pemetaan drive letter saat ini. Entri yang dimulai dengan ??\Volume mewakili GUID unik untuk setiap volume yang pernah dikenali oleh sistem.

Warning

Identifikasi Perangkat: Data dalam kolom Device Data sering kali mengandung informasi biner. Namun, untuk perangkat USB, Anda dapat melihat string teks seperti _USBSTOR#Disk&Ven_TOSHIBA… yang secara langsung mengidentifikasi vendor dan jenis perangkat.

FieldValue
Location / Path
SYSTEM\MountedDevices
Registry HiveSYSTEM
PurposeMemetakan volume sistem, partisi, dan perangkat eksternal ke drive letter atau mount point.
Key Data
  • Device Name: Berisi drive letter (DosDevices) atau Volume GUID unik.
  • Device Data: Informasi biner yang menghubungkan volume tersebut ke hardware serial number atau signature disk.
  • USBSTOR Reference: Bukti koneksi perangkat USB spesifik yang pernah mendapatkan mount point.
Forensic ValueTinggi; Memungkinkan investigator untuk menghubungkan aktivitas file pada drive tertentu (misal drive E:) ke perangkat fisik tertentu yang pernah dicolokkan.
Example

USB (Universal Serial Bus)

Kunci USB adalah artefak pada hive SYSTEM yang mencatat seluruh perangkat USB yang pernah terdeteksi oleh sistem, mulai dari periferal (Mouse/Keyboard), perangkat mobile, hingga media penyimpanan massal. Artefak ini sangat krusial karena mencatat riwayat koneksi fisik lengkap, termasuk waktu pertama kali perangkat terhubung hingga terakhir kali dilepaskan.

Tip

Identifikasi Perangkat: Nama subkey di bawah USB menggunakan format VID_XXXX&PID_YYYY. Anda dapat melakukan pencarian kode ini secara daring (misal di devicehunt.com) untuk mengetahui merk dan jenis perangkat secara pasti.

Warning

Serial Number: Di bawah subkey VID/PID, terdapat folder yang merupakan Serial Number perangkat. Jika karakter kedua adalah & (contoh: 5&2b1d7621…), artinya perangkat tersebut tidak memiliki nomor seri unik dari pabrik dan Windows memberikan ID sementara berdasarkan port yang digunakan.

FieldValue
Location / Path
SYSTEM\ControlSet00x\Enum\USB
Registry HiveSYSTEM
PurposeMencatat enumerasi fisik dan riwayat koneksi seluruh perangkat USB yang terdeteksi oleh sistem.
Key Data
  • VID & PID: Identitas vendor dan produk perangkat keras.
  • Device Desc / Friendly Name: Deskripsi perangkat (contoh: realme narzo 30A atau USB Mass Storage Device).
  • Timestamps: Mencatat waktu Install, First Install, Last Connected, dan Last Removed.
  • Service: Layanan driver yang digunakan (contoh: USBSTOR, WinUSB, atau hidusb).
Forensic ValueSangat Tinggi; Memberikan bukti kronologis yang presisi mengenai kapan sebuah perangkat eksternal dicolokkan dan dicabut dari sistem.
Example

TCP/IP Interfaces

Artefak TCP/IP Interfaces menyimpan konfigurasi jaringan untuk setiap adaptor (Ethernet, Wi-Fi, VPN) yang pernah digunakan oleh sistem. Dalam investigasi forensik, kunci ini sangat krusial untuk memetakan lokasi fisik atau lingkungan jaringan di mana perangkat tersebut pernah beroperasi melalui alamat IP dan riwayat koneksi DHCP.

Tip

Tips Analisis: Setiap adaptor jaringan diidentifikasi melalui GUID unik. Anda dapat mencocokkan GUID ini dengan kunci NetworkCards di hive SOFTWARE untuk mengetahui nama perangkat adaptor yang sebenarnya (misal: “Intel(R) Wi-Fi 6”).

Warning

Identifikasi Lokasi: Melalui tab DHCPNetworkHints, investigator dapat melihat nama SSID Wi-Fi (Network Hint) yang pernah terhubung, seperti “Bonnito”, “TelU-Connect”, atau “ZAMZAM HOTEL”. Ini memberikan bukti riwayat lokasi geografis perangkat.

FieldValue
Location / Path
SYSTEM\ControlSet00x\Services\Tcpip\Parameters\Interfaces{GUID}
Registry HiveSYSTEM
PurposeMenyimpan detail konfigurasi IP, DNS, dan riwayat penyewaan (lease) DHCP untuk setiap adaptor jaringan.
Key Data
  • IPAddress / DhcpIPAddress: Alamat IP yang digunakan oleh perangkat.
  • DhcpServer: Alamat IP router atau server yang memberikan akses internet.
  • Lease Obtained/Terminates: Waktu kapan perangkat mulai dan berhenti mendapatkan koneksi di jaringan tersebut.
  • Network Hint (SSID): Nama jaringan Wi-Fi yang pernah dikoneksikan.
Forensic ValueSangat Tinggi; Esensial untuk membuktikan riwayat koneksi jaringan, alamat IP yang digunakan saat kejadian, dan mobilitas perangkat.
Example Netwok Settings
Example DHCPNetwork

System Configuration Details

Selain artefak aktivitas, hive SYSTEM menyimpan identitas dasar dan konfigurasi waktu perangkat. Informasi ini sangat krusial sebagai fondasi investigasi untuk memastikan sinkronisasi timeline dan identifikasi identitas komputer yang sedang dianalisis.

Caution

Pentingnya Time Zone: Selalu periksa kunci TimeZoneInformation. Tanpa mengetahui zona waktu yang disetel pada sistem asli, investigator berisiko salah menginterpretasikan kronologi kejadian saat membandingkan log dari berbagai sumber.

Tip

Last Shutdown Time: Nilai ini hanya diperbarui jika sistem melakukan proses shutdown secara normal. Jika komputer mati mendadak (putus daya), waktu yang tercatat mungkin merupakan waktu dari sesi sebelumnya.

FieldValue
Computer Name
SYSTEM\ControlSet00x\Control\ComputerName\ComputerName
Time Zone Info
SYSTEM\ControlSet00x\Control\TimeZoneInformation
Last Shutdown Time
SYSTEM\ControlSet00x\Control\Windows\ShutdownTime
PurposeMenentukan identitas perangkat (hostname), referensi waktu (UTC offset), dan jejak terakhir sistem aktif.
Key Data
  • ComputerName: Nama host yang terlihat di jaringan.
  • TimeZoneKeyName: Nama zona waktu (misal: "SE Asia Standard Time").
  • ActiveTimeBias: Selisih waktu sistem dengan UTC (dalam menit).
  • ShutdownTime: Data biner 8-byte (FILETIME) waktu terakhir sistem dimatikan.
Forensic ValueSangat Tinggi; Menghindari kesalahan interpretasi waktu dan memastikan bukti berasal dari mesin yang benar (hostname matching).
Example Computer Name
Example Timezone
Example Last Shutdown

Tools Rekomendasi untuk Analisis Hive SYSTEM

Warning

Validasi Temuan: “Selalu gunakan lebih dari satu tool untuk memvalidasi temuan Anda, terutama saat menentukan bukti eksekusi (ShimCache vs BAM).”

ToolFungsi UtamaKeunggulan
Registry ExplorerEksplorasi Hive ManualMemiliki plugin otomatis untuk mem-parsing data biner ShimCache dan BAM langsung di dalam GUI.
AppCompatCacheParserParsing ShimCacheTool CLI buatan Eric Zimmerman yang sangat cepat untuk mengekstrak 1024 entri ShimCache ke format CSV.
BAMParserParsing Data BAMSecara otomatis mengonversi data biner 8-byte pada kunci BAM menjadi timestamp yang mudah dibaca.
KAPEAkuisisi ArtefakTool terbaik untuk mengambil file SYSTEM secara cepat dari sistem yang sedang berjalan (live triage).
Volatility 3Analisis MemoryDigunakan untuk mengekstrak data ShimCache yang masih berada di RAM (sebelum ditulis ke disk/hive).

Ringkasan Visual (Mindmap SYSTEM Hive)

Last updated on
SamUsrclass Dat