Forensik Memori — Mengungkap Rahasia di Dalam RAM

Pernah lo denger pepatah "what happens in RAM, stays in RAM"?

Enggak, itu bukan pepatah beneran. Tapi intinya benar: RAM (Random Access Memory) itu kayak "ingatan jangka pendek"-nya komputer. Di dalamnya ada tumpukan informasi sementara yang super berharga untuk investigator — tapi lenyap begitu listrik mati.

Di artikel sebelumnya kita udah bahas forensik disk (analisis hard drive) dan forensik jaringan (analisis traffic). Sekarang kita masuk ke yang paling misterius dan... jujur aja... yang paling keren: forensik memori.

Kenapa keren? Karena di RAM lo bisa nemuin hal-hal yang nggak ada di hard drive:

• Malware yang cuma berjalan di memori (fileless malware).
• Password plaintext yang nyangkut di clipboard atau input field.
• Kunci enkripsi yang lagi aktif.
• Proses dan koneksi yang udah dihapus dari process list tapi jejaknya masih ada.
• Command yang pernah dieksekusi, meskipun udah di-clear dari history.

Siap? Kita selami dunia volatile memory.

Apa Itu Forensik Memori?

Forensik memori (memory forensics) adalah proses menganalisis isi RAM dari sebuah sistem komputer. Tujuannya: menemukan informasi yang hanya ada di memori dan nggak tersimpan di disk.

Kenapa RAM spesial?

• Volatile — data hilang begitu sistem mati. Paling cepat lenyap di antara semua sumber bukti.
• Dinamis — isinya berubah setiap milidetik. Proses baru muncul, proses lama mati, data digeser.
• Kaya informasi — semua yang lagi dikerjain komputer ada di RAM: proses, koneksi, registry, password, clipboard, dsb.

Ibaratnya, kalau hard drive itu "buku harian"-nya komputer, RAM itu "pikiran"-nya. Dan sebagai investigator, kita pengen tau apa yang lagi dipikirin.

Kenapa Forensik Memori Penting?

Beberapa skenario di mana forensik memori jadi game-changer:

1. Fileless Malware

Malware tradisional nyimpen file di hard drive (.exe, .dll, .sys). Tapi fileless malware nggak. Dia cuma ada di RAM atau registry. Kalau lo cuma ngandelin disk forensics... lo nggak bakal nemuin apa-apa.

Memory forensics adalah SATU-SATUNYA cara untuk mendeteksi fileless malware.

2. Process Hiding

Malware canggih bisa nyembunyiin prosesnya dari Task Manager atau ps command. Teknik ini disebut DKOM (Direct Kernel Object Manipulation). Tapi di memory dump, proses tersembunyi ini bisa ditemuin.

3. Kredensial Tersimpan

Windows nyimpen kredensial di LSASS (Local Security Authority Subsystem Service) process. Tools kayak Mimikatz bisa ngambil password plaintext dari LSASS — tapi itu ngeubah sistem. Dengan memory forensics, lo bisa ekstrak kredensial dari memory dump tanpa menjalankan apa pun di sistem target.

4. Kunci Enkripsi

Kalau hard drive dienkripsi (BitLocker, VeraCrypt, FileVault), kunci enkripsinya ada di RAM selama sistem menyala. Memory dump bisa jadi cara untuk dapet kunci ini.

5. Network Connections

Koneksi yang udah ditutup mungkin nggak keliatan lagi di netstat, tapi jejaknya masih ada di memory dump. Lo bisa nemuin IP address, port, dan bahkan payload data yang pernah dikirim.

Proses Akuisisi Memori

Sebelum analisis, lo harus dapetin memory dump dulu. Ingat prinsip order of volatility: RAM adalah yang PALING pertama harus diakuisisi.

Tools untuk Akuisisi Memori

Windows:

1. FTK Imager — paling populer. File → Capture Memory. Hasilnya: .mem atau .dmp file + pagefile (opsional).
2. DumpIt — dari Magnet Forensics. Portable, tinggal double-click. Hasil: .raw file.
3. WinPMEM — dari Rekall project. Command-line, bisa di-script.
4. Magnet RAM Capture — gratis, dari Magnet Forensics.

Linux:

1. LiME (Linux Memory Extractor) — load kernel module, dump isi RAM. Paling recommended untuk Linux.
2. avml — dari Microsoft, statically compiled binary. Tinggal copy ke sistem target dan jalanin.
3. dd — secara teori: dd if=/dev/mem of=dump.raw — tapi di kernel modern /dev/mem dibatasi.

macOS:

1. osxpmem — dari Rekall.
2. macmemorydumper — berbagai versi.

Prosedur Akuisisi:

1. Siapkan media tujuan — external drive dengan cukup space. Ukuran memory dump = ukuran RAM + 20% (pagefile, metadata).
2. Jalankan tools — dari USB atau network share, JANGAN dijalankan dari disk target (agar nggak nge-overwrite memori).
3. Simpan dump — langsung ke external drive.
4. Generate hash — dari file dump yang dihasilkan.
5. Catat di chain of custody — tools yang dipakai, ukuran dump, hash, jam.

Footprint

Setiap tools yang lo jalankan di sistem target juga bakal makan RAM. Ini disebut footprint. Pilih tools yang footprint-nya kecil. FTK Imager dan WinPMEM footprint-nya relatif kecil. DumpIt juga oke.

Footprint nggak bisa dihindari sepenuhnya — yang penting lo dokumentasikan dan bisa jelasin dampaknya.

Volatility: Raja Analisis Memori

Setelah lo dapet memory dump, saatnya analisis. Dan untuk itu, tool andalannya adalah Volatility.

Volatility adalah framework open-source untuk analisis memory dump. Versi terbaru: Volatility 3, yang merupakan rewrite total dari Volatility 2 dengan arsitektur yang lebih modular.

Install Volatility 3

# Clone repository
git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3

# Install dependencies
pip install -r requirements.txt

# Cek instalasi
python3 vol.py -h

Command Dasar Volatility 3

Format umum:

python3 vol.py -f <memory_dump> <plugin>

Plugin Dasar yang Wajib Dikuasai

1. windows.info

Menampilkan info umum tentang sistem yang di-dump.

python3 vol.py -f memory.dmp windows.info

Output: versi Windows, build number, system time, jumlah CPU, dll.

2. windows.pslist

Menampilkan daftar proses yang sedang berjalan.

python3 vol.py -f memory.dmp windows.pslist

Output: PID, PPID, nama proses, jumlah thread, waktu mulai.

Ini yang pertama harus lo cek. Cari proses dengan nama aneh, PID abnormal, atau proses yang jalan dari folder mencurigakan (misal: C:\Users\User\Downloads\svchost.exe — padahal svchost.exe asli ada di C:\Windows\System32).

3. windows.psscan

Menampilkan SEMUA proses — termasuk yang udah selesai (exited) dan yang disembunyikan (hidden).

python3 vol.py -f memory.dmp windows.psscan

Ini lebih lengkap daripada pslist. Malware yang nyoba nyembunyiin diri dengan teknik DKOM biasanya bakal ketangkep di psscan.

4. windows.cmdline

Menampilkan command-line yang dipakai untuk menjalankan setiap proses.

python3 vol.py -f memory.dmp windows.cmdline

Output contoh:

PID      Process     Command
1234     cmd.exe     "C:\Windows\system32\cmd.exe" /c net user hacker P@ssw0rd /add

Dari sini lo bisa liat kalau ada yang menjalankan perintah mencurigakan.

5. windows.netscan

Menampilkan koneksi jaringan yang aktif (dan yang udah selesai tapi jejaknya masih ada).

python3 vol.py -f memory.dmp windows.netscan

Output: source IP, destination IP, port, status, proses terkait.

Ini penting banget untuk menemukan komunikasi malware dengan C2 server.

6. windows.dlllist

Menampilkan DLL yang diload oleh sebuah proses.

python3 vol.py -f memory.dmp windows.dlllist --pid 1234

Cari DLL mencurigakan yang nggak seharusnya ada — terutama DLL tanpa nama atau dari path yang aneh.

7. windows.malfind

Mendeteksi tanda-tanda malware injection. Mencari memory page yang punya execute permission + write permission (biasanya nggak normal).

python3 vol.py -f memory.dmp windows.malfind

Plugin ini otomatis mencari anomali di memory dan ngasih tau kalau ada sesuatu yang mencurigakan.

8. windows.registry.hivelist

Menampilkan registry hives yang ada di memori.

python3 vol.py -f memory.dmp windows.registry.hivelist

Dari sini lo bisa tau alamat virtual address dari masing-masing hive, yang bisa dipakai untuk plugin registry lainnya.

9. windows.filescan

Menampilkan file yang lagi dibuka di sistem.

python3 vol.py -f memory.dmp windows.filescan | grep suspicious

Studi Kasus Singkat: Menganalisis Memory Dump

Anggap lo dapet memory dump dari laptop karyawan yang dicurigain nyuri data perusahaan. Ini langkah-langkah sederhananya:

1. Info sistem

python3 vol.py -f dump.mem windows.info

→ Windows 10 build 19041, memory 8GB.

2. Cek proses mencurigakan

python3 vol.py -f dump.mem windows.pslist

→ Ada proses cmd.exe dijalankan oleh explorer.exe. Hmm, wajar sih. Tapi lanjut.

3. Cek command-line

python3 vol.py -f dump.mem windows.cmdline

→ AHA! cmd.exe menjalankan: rar a -hp rahasia.rar D:\DataRahasiaPerusahaan\

Ini menunjukkan user meng-compress folder rahasia dengan password. Mencurigakan.

4. Cek koneksi jaringan

python3 vol.py -f dump.mem windows.netscan

→ Ada koneksi FTP ke IP 103.x.x.x sekitar waktu yang sama. kemungkinan file RAR di-upload ke server eksternal.

5. Konfirmasi
→ Dengan temuan ini, lo bisa bawa ke manajemen dan memutuskan langkah selanjutnya: periksa log firewall, cek IP tujuan, dll.

See? Dari memory dump aja lo bisa nemuin banyak petunjuk.

Pagefile dan Hibernation File

Selain RAM, ada dua sumber lain yang terkait:

Pagefile (pagefile.sys — Windows)

Ketika RAM penuh, sistem memindahkan data dari RAM ke pagefile di disk. Jadi pagefile bisa berisi "bekas" data dari RAM.

Kalau lo melakukan memory dump dengan FTK Imager, lo bisa centang opsi "include pagefile". Ini ngasih lo data tambahan.

Hibernation File (hiberfil.sys — Windows)

Ketika laptop masuk hibernasi, isi RAM ditulis ke hibernation file di disk. Ini mirip memory dump "alami".

Kalau laptop dalam keadaan hibernasi saat disita, lo bisa analisis hibernation file dengan Volatility — tapi perlu plugin khusus (converter dulu).

Memory Forensics vs Disk Forensics

Ini perbandingan singkat biar lo paham perbedaannya:

Keduanya SALING MELENGKAPI, bukan menggantikan. Investigator yang baik melakukan KEDUANYA.

Tips Praktis Forensik Memori

1. Jangan matikan dulu. Begitu lo nemu komputer nyala di TKP, matiin monitor? Iya. Matiin komputernya? JANGAN. RAM lenyap selamanya.

2. Siapkan tools di USB — FTK Imager portable, DumpIt, WinPMEM. Jangan mengandalkan download di tempat.

3. Cek space dulu — memory dump 16GB + pagefile bisa 32GB. Pastikan media tujuan cukup.

4. Footprint seminimal mungkin — pilih tools kecil. Jalankan dari USB, bukan dari disk target.

5. Hash di setiap tahap — hash source RAM? Sulit (karena berubah terus). Tapi hash file dump hasil akuisisi wajib dihitung.

6. Praktek dengan sampel dulu — download memory dump sample dari CFReDS atau GitHub. Jangan nunggu kasus beneran.

Penutup

Forensik memori sering disebut sebagai "the art of uncovering the invisible" — seni mengungkap yang tak terlihat. Dan memang itu intinya. Data di RAM itu ada, tapi nggak keliatan kalau lo nggak tau caranya nyari.

Dengan Volatility dan teknik yang tepat, lo bisa nemuin:

• Proses tersembunyi
• Kredensial yang nyangkut di memori
• Koneksi jaringan yang udah ditutup
• Malware yang nggak ada jejaknya di disk

Ini skill yang nggak semua investigator punya. Jadi kalau lo kuasai... lo punya competitive edge yang besar.

Di artikel berikutnya, kita bakal bahas studi kasus lengkap — mensimulasikan investigasi forensik digital dari awal sampai akhir: chain of custody, akuisisi, analisis (disk + memory + network), dan pelaporan. Lo bakal ngerasain gimana rasanya jadi investigator beneran!

Seperti biasa, kalau ada pertanyaan → Kontak. Dan cek artikel di kategori Forensik Digital.

Sampai ketemu di artikel puncak!

Oh iya, sebelum gue tutup — ada beberapa plugin Volatility tambahan yang mungkin berguna buat lo nanti kalau udah lebih advanced. Nggak perlu dihapalin sekarang, tapi catet aja dulu:

• windows.dumpfiles — dump file spesifik dari memory. Misalnya lo nemu file malware di filescan, lo bisa dump dan analisis lebih lanjut.
• windows.hashdump — ekstrak hash password Windows (LM/NTLM). Ini bisa dipakai buat cracking password lokal.
• windows.lsadump — ekstrak LSA secrets dari memori. Kadang ada password service account atau scheduled task credentials.
• windows.modules — list kernel modules/drivers yang dimuat. Rootkit sering menyamar sebagai driver.
• windows.callbacks — lihat kernel callbacks yang terdaftar. Malware bisa register callback buat nyembunyiin proses atau file.
• windows.svcscan — scan Windows services. Malware sering bikin service palsu buat persistence.

Simpan catatan ini. Nanti pas lo udah nyaman dengan plugin-plugin dasar, naikin level ke plugin yang lebih advanced ini. Belajar forensik memori itu kayak main game RPG — lo mulai dari level 1 dulu, grinding pelan-pelan, baru lawan boss.

Dan ingat, gue serius: jangan nunggu kasus beneran buat belajar. Download sample memory dump dari internet (banyak yang gratis), dan praktek di lab lo sendiri. Skill memory forensics itu langka — dan langka itu artinya mahal di pasar kerja.

Stay curious, stay sharp! Dan jangan lupa: di dunia forensik digital, penemuan terbesar seringkali datang dari tempat yang paling nggak terduga — yaitu memori yang orang lain anggap sudah hilang selamanya. Investigasi.