Teknik Live Forensics Pada Aktivitas Zeus Malware Untuk Mendukung Investigasi Malware Forensics

Transkripsi

1 HACKING AND DIGITAL FORENSICS EXPOSE 2014) ISSN: Teknik Live Forensics Pada Aktivitas Zeus Malware Untuk Mendukung Investigasi Malware Forensics Aan Kurniawan Magister Teknik Informatika Universitas Islam Indonesia Jalan Kaliurang KM 14.5 Yudi Prayudi Magister Teknik Informatika Universitas Islam Indonesia Jalan Kaliurang KM 14.5 Abstract - Malware merupakan salah satu bentuk dari kejahatan komputer yang terjadi pada sebuah sistem jaringan komputer, zeus malware adalah salah satu dari malware yang menjadi fenomena di dunia global karena besarnya dampak kerugian yang ditimbulkan, mulai dari pencurian data penting sampai transaksi perbankan ilegal. Aktivitas malware berkaitan erat dengan memory komputer karena semua proses yang terjadi pada saat komputer menyala dilakukan oleh memory komputer. Oleh karenanya dibutuhkan penganganan khusus untuk melakukan kegiatan investigasi kejahatan yang terkait aktivitas malware, yaitu dengan menggunakan teknik live forensics pada forensika digital. Prinsip kerjanya adalah menyelamatkan bukti digital berupa proses dan segala aktivitas komputer ketika dalam keadaan menyala dan terhubung pada sebuah jaringan komputer, hal ini disebabkan karena barang bukti digital pada komputer yang sedang dalam keadaan menyala akan hilang ketika komputer telah dimatikan. Keywords : Malware, zeus, live forensics, bukti digital I. PENDAHULUAN Kejahatan dunia maya setiap tahunnya mengalami peningkatan yang sangat pesat, hal ini dikarenakan semakin berkembangnya teknologi komputer yang berdampak pada kehidupan manusia. Segala kemudahan yang didapat dari teknologi komputer pada kenyataannya tidak hanya berdampak baik bagi kehidupan manusia karena beberapa diantaranya ternyata juga ikut memberikan dampak yang buruk. Banyak orang yang memanfaatkan teknologi komputer sebagai media untuk melakukan tindak kejahatan yang bertentangan dengan hukum. Beragam tujuan yang dimiliki para pelaku ini beberapa diantaranya adalah untuk mencari kesenangan, mencari keuntungan dengan memanipulasi transaksi keuangan perbankan dan ada juga untuk kepentingan mata mata antara beberapa negara. Banyak cara yang dilakukan untuk mempermudah kegiatan kejahatan yang melibatkan teknologi komputer ini salah satunya adalah memanfaatkan kelemahan sistem jaringan komputer dengan menyusupkan program yang digunakan sebagai media untuk mencuri informasi dari sebuah sistem komputer, program ini disebut sebagai malware. Malware merupakan singkatan dari malicious software yang artinya adalah software yang tidak diinginkan, malware dibuat dengan sengaja yang disusupkan pada sebuah sistem komputer untuk mencuri data informasi dan bahkan dapat merusak sebuah sistem komputer. Malware sangat berbahaya, karena sangat sulit untuk dideteksi oleh sistem yang sedang bekerja, sehingga hal yang sangat mungkin dilakukan adalah menganalisa terkait aktivitas dari malware tersebut. Malware pernah menjadi sangat fenomenal karena menyebabkan kerugian yang besar serta melibatkan banyak negara sebagai korbannya, malware ini adalah zeus malware. Zeus malware pertama kali ditemukan pada tahun 2007 dan menjadi luas pada tahun 2009, merupakan malware yang masuk ke dalam jenis trojan. Pada tahun 2010 dari laporan FBI, aktivitas cyber crime yang memanfaatkan zeus malware mampu menghasilkan total uang sekitar $ 70juta dari kegiatan ilegalnya di Amerika saja, sampai saat ini zeus malware masih menjadi ancaman serius dunia maya secara global dan masih mengalami perkembangan yang sangat pesat pada teknologinya, beberapa fakta tentang zeus malware ini menjadikannya topik menarik untuk diangkat menjadi tema sebuah penelitian.[1] Penanganan tindak kejahatan yang melibatkan teknologi komputer masih sangat awam untuk saat ini. Digital forensik adalah ilmu yang mempelajari tentang bagaimana cara untuk menangani berbagai kejahatan yang melibatkan teknologi komputer. Ada beberapa teknik didalam digital forensik salah satunya adalah live forensics yang digunakan untuk menangani kejahatan komputer yang menggunakan pendekatan terhadap sistem komputer yang sedang bekerja dan terhubung pada jaringan komputer. Live forensics menjadi solusi yang sangat tepat untuk mengatasi permasalahan terkait serangan malware pada sebuah sistem, karena malware bekerja pada sebuah sistem jaringan komputer dan melakukan aktivitasnya ketika sistem sedang bekerja.[2] Penelitian ini akan melakukan eksplorasi bukti digital terhadap aktivitas zeus malware dengan menggunakan teknik live forensics. Hasil akhir yang diharapkan adalah bahwa penelitian ini dapat menjadi rujukan dalam membantu investigasi yang terkait dengan malware forensics. Dalam usaha untuk mencapai hasil akhir tersebut terdapat beberapa tujuan yang harus dicapai yaitu sebagai berikut: 1. Mengetahui karakteristik dan bukti digital yang dihasilkan oleh sebuah aktivitas malware. 2. Mengimplementasikan teknik live forensics untuk menginvestigasi bukti digital dari aktivitas malware. 3. Menganalisa aktivitas malware. 4. Merumuskan sebuah kerangka investigasi yang terstruktur untuk teknik malware forensics berdasarkan hasil case studies yang dirancang. Tujuan tujuan ini merupakan skenario secara garis besar dalam penelitian ini yang menjadikan penelitian tetap konsisten pada hasil akhir yang ingin dicapai. Tema ini diangkat karena pentingnya pengetahuan serta perlunya peningkatan kesadaran 1

2 terhadap serangan malware yang sangat berbahaya dan merugikan. II. LANDASAN TEORI 2.1 Komputer Forensik Pengertian komputer forensik Pengertian komputer forensik secara umum adalah sebuah proses keilmuan yang digunakan untuk mengumpulkan, menganalisa serta menghadirkan barang bukti pada sebuah aktivitas kejahatan yang melibatkan teknologi komputer. Dalam perkembangannya komputer forensik saat ini lebih dikenal dengan digital forensik hal ini karena dampak dari pesatnya perkembangan teknologi komputer yang bukan hanya berbentuk komputer konvensional tapi juga mencakup semua perangkat digital yang menggunakan prinsip kerja teknologi komputer didalamnya. Beberapa pengertian dari digital forensik adalah sebagai berikut : a. Dr. H. B. Wolfe, serangkaian metode teknik dan prosedur untuk mengumpulkan bukti dari peralatan dan berbagai perangkat penyimpanan media komputasi digital, yang dapat disajikan di pengadilan dalam format yang koheren dan bermakna. [3] b. Steve Hailey, Pemeliharaan, identifikasi, ekstraksi, interpretasi, dan dokumentasi bukti komputer, untuk memasukan aturan bukti, proses hukum, integritas bukti, pelaporan faktual dari informasi yang ditemukan, dan memberikan pendapat ahli dalam pengadilan hukum atau lainnya hukum dan atau proses administratif sebagaimana dengan apa yang ditemukan. [3] c. Marcella, Digital Forensik adalah aktivitas yang berhubungan dengan pemeliharaan, identifikasi, pengambilan/penyaringan, dan dokumentasi bukti digital dalam kejahatan komputer. [4] Bukti Digital Barang bukti pada dasarnya sama yaitu merupakan informasi dan data, hanya saja kompleksitas dan media penyimpanannya yang mengubah sudut pandang dalam penanganannya. Barang bukti digital dalam komputer forensik secara garis besar terbagi menjadi 3 jenis, yaitu: a. Data aktif, yaitu data yang terlihat dengan mudah karena digunakan untuk berbagai kepentingan yang berkaitan erat dengan kegiatan yang sedang dilakukan, misalnya program, file gambar, dan dokumen teks. b. Data arsip, yaitu data yang telah disimpan untuk keperluan backup misalnya dokumen file yang didigitalisasi untuk disimpan dalam format TIFF dengan tujuan menjaga kualitas dokumen. c. Data laten, disebut juga data ambient yaitu data yang tidak dapat dilihat langsung karena tersimpan pada lokasi yang tidak umum dan dalam format yang tidak umum misalnya, database log dan internet log. Data laten juga disebut sebagi Resudial data yang artinya adalah data sisa ataupun data sementara.[5] Live Forensics Live Forensics pada dasarnya memiliki kesamaan pada teknik forensik tradisonal dalam hal metode yang dipakai yaitu identifikasi, penyimpanan, analisis, dan presentasi, hanya saja live forensics merupakan respon dari kekurangan teknik forensik tradisonal yang tidak bisa mendapatkan informasi dari data dan informasi yang hanya ada ketika sistem sedang berjalan misalnya aktifitas memory, network proses, swap file, running system proses, dan informasi dari file sistem dan ini menjadi kelebihan dari teknik live forensics.[2] Memory Forensik Memory forensik merupakan sebuah proses dalam upaya mendapatkan informasi dan data yang terdapat dalam memory pada sebuah sistem yang sedang berjalan dan akan hilang ketika sistem tersebut dimatikan. Beberapa informasi yang berada pada memory dan dapat digunakan untuk keperluan digital forensik adalah sebagai berikut : Konfigurasi dari software dan hardware Windows registry dan even logs File yang sedang running. Malware. URLs, IP address, dan network sockets Informasi dari pengguna Encryption keys Process dan threads 2.2 Zeus Malware Zeus pertama kali diidentifikasi pada bulan Juli 2007, ketika digunakan untuk mencuri informasi dari departemen perhubungan Amerika Serikat dan menjadi luas pada tahun Pada bulan Juli 2009, perusahaan keamanan Prevx menemukan bahwa Zeus telah menginfeksi lebih dari akun FTP pada website perusahaan seperti Bank of America, NASA, Monster, ABC, Oracle, play.com, Cisco, Amazon, BusinessWeek. Pada tanggal 14 Juli 2010, perusahaan keamanan Trusteer mengajukan laporan yang menyatakan bahwa kartu kredit lebih dari 15 bank bank AS yang tidak disebutkan namanya telah terinfeksi. Pada tanggal 1 Oktober 2010, FBI mengumumkan telah menangkap jaringan utama internasional dari kejahatan dunia maya yang telah menggunakan Zeus untuk meretas komputer Amerika Serikat dan berhasil mencuri sekitar $70 juta. Lebih dari 90 orang ditangkap di Amerika Serikat, Inggris dan Ukraina.[1] III. METODOLOGI Penelitian ini pada dasarnya menggunakan pendekatan dari metodologi yang digunakan oleh teknik live forensics, secara lengkapnya dapat dilihat pada gambar 1 berikut ini : Gambar 1 Metodologi Metodologi ini dibuat dan digunakan berdasarkan review penelitian yang telah dilakukan. Penelitian ini mengangkat tema mengenai penanganan sebuah kejahatan komputer yang melibatkan zeus malware yang sangat berkaitan dengan 2

3 HACKING AND DIGITAL FORENSICS EXPOSE 2014) ISSN: masalah jaringan komputer yang artinya diperlukan penanganan khusus untuk kasus seperti ini, kemudian didapatkan solusi yang terbaik dengan melakukan live forensics untuk mendapatkan berbagai barang bukti digital yang dapat diangkat dalam kaitan melakukan penyelidikan untuk mengungkap sebuah kasus kejahatan komputer dengan kondisi dan skema seperti didalam penelitian ini. Metodologi ini diharapkan dapat menjawab semua permasalahan dan tujuan yang ingin dicapai dalam penelitian ini. 3.1 Studi Literatur Tahapan pertama yang dilakukan dalam penelitian ini adalah melakukan review terhadap beberapa literatur sebagai refrensi untuk melakukan tahapan tahapan penelitian. Beberapa penelitian tersebut antara lain adalah penelitian dari Anders Orsten Flaglien, yang melakukan analisis terhadap aktivitas malware pada suatu sistem komputer yang terdiri dari beberapa komputer yang saling terhubung dengan memanfaatkan metode korelasi [6]. Kemudian penelitian yang dilakukan oleh Murray Brand yang mengangkat tema tentang analisis forensics terhadap malware yang telah menggunakan teknologi anti-analysis [7], dan paper yang diangkat oleh Gursirman Kaur dan Bharti Nagpal dengan tema tentang gambaran umum bagaimana langkah langkah melakukan analisis malware dalam sebuah investigasi [8]. Hasil yang didapat dari studi literatur yang dapat dijadikan bahan dalam mengerjakan penelitian ini adalah sebagai berikut : 1. Perlunya membangun sebuah skema jaringan komputer yang saling terhubung untuk menjalankan zeus malware. 2. Membuat sebuah jaringan komputer secara virtual untuk menghindari kerusakan pada sistem karena dampak dari zeus malware. 3. Menggunakan internet simulator sebagai sebuah upaya untuk membuat zeus malware berjalan dengan maksimal agar dapat dicapai hasil yang diinginkan dalam penelitian ini. 4. Melakukan tahapan tahapan live forensics yang benar dan menggunakan pendekatan pada kasus yang terjadi jika tidak dalam keadaan virtual. Point ini menjadi hal pembeda penelitian ini dengan penelitian yang sudah pernah dilakukan, karena pada penelitian yang sudah pernah dilakukan bahwa proses live forensics yang terjadi hanya melakukan copy terhadap image memory yang terdapat pada direktori install virtual machine yang sedang berjalan, sedangkan pada penelitian ini akan dilakukan proses live forensics yang benar dengan menggunakan pendekatan terhadap kondisi sebenarnya jika kasus ini terjadi tidak dengan kondisi sistem yang menggunakan virtual machine. 5. Melakukan analisa terhadap hasil dari barang bukti digital yang didapatkan pada sistem yang terdapat zeus malware. 6. Merumuskan hasil hasil dari analisa yang dapat dijadikan sebagai barang bukti digital terkait dengan kejahatan komputer yang melibatkan zeus malware. 3.2 Perancangan Skema Proses ini merupakan proses untuk mencari tahu karakteristik dan bukti digital yang dihasilkan oleh zeus malware dan mengimplementasikan teknik live forensics untuk menginvestigasi aktivitas dari malware dengan cara menggunakan helix linux dalam melakukan proses live acquisition terhadap image memory dari sistem. Penelitian ini menggunakan skema yang bersifat virtual dengan jaringan lokal. Skema menggunakan vmware sebagai host dari komputer korban yang diinstal Windows XP, kemudian terhubung pada komputer investigator yang diinstall sistem operasi kali linux. Skema ini menggunakan perangkat lunak inetsim untuk memanipulasi jaringan lokal menjadi seakan akan berjalan pada jaringan internet, selanjutnya zeus malware dijalankan pada komputer korban untuk kemudian dilakukan live acquisition menggunakan helix linux. Beberapa tahapan yang dilakukan dalam perancangan skema ini dapat dilihat pada gambar 2 sebagai berikut : WindowsVictim - VMware IP Set DHCP DNS Zeus Malware Helix Linux Live CD Inetsim Gambar 2 Topologi Skema Investigator Kali Linux IP Konfigurasi VMware, pada tahapan ini melakukan konfigurasi pada komputer korban dengan menambahkan alamat IP DNS yang merujuk kepada alamat IP komputer investigator. 2. Inetsim, menjalankan perangkat lunak pada kali linux. 3. Zeus malware, menjalankan zeus malware pada komputer korban. 4. Live acquisition, pada tahapan ini melakukan live acquisition pada komputer korban menggunakan helix linux untuk mendapatkan image memory yang akan dijadikan sebagai bukti digital untuk di analisis. IV. HASIL DAN PEMBAHASAN Bab ini merupakan uraian tentang hasil dan pembahasan, tujuannya adalah untuk mendapatkan jawaban atas semua permasalahan dari tema yang diangkat didalam penelitian. Proses analisis ini disusun dengan terstruktur untuk mendapatkan kerangka investigasi yang benar dalam malware forensics dan merupakan proses analisis aktivitas malware. Analisis dalam penelitian ini menggunakan perangkat lunak volatility pada kali linux dan menggunakan analisis scanning virus dari website virus total. 4.1 Analisis Penanganan Barang Bukti Digital Proses ini adalah proses yang perlu dilakukan sebelum melakukan analisis terhadap barang bukti yang telah didapatkan. Pada proses ini termasuk juga adalah proses identifikasi, penyimpanan dan pemeliharan barang bukti digital. Proses ini menjadi penting dilakukan untuk menjaga kemurnian dari barang bukti digital serta menjaga agar barang bukti digital tidak tercemar. 1. Analisis zeus malware, melakukan identifikasi terhadap zeus malware yang akan dijalankan pada komputer 3

4 korban. Proses ini dilakukan untuk mengonfirmasikan jenis dari malware yang akan digunakan dengan kode nama Zbot. Analisis dilakukan secara live dengan menggunakan website virus total. 2. Copy dan analisa md5 bukti digital, pada tahap ini dilakukan copy bukti digital sehingga file asli dari bukti digital tidak digunakan untuk proses analisa lebih lanjut hal ini dilakukan untuk mencegah file rusak dan tercemar. 3. Identifikasi bukti digital, tahapan selanjutnya adalah melakukan pengecekan dan identifikasi terhadap bukti digital untuk mendapatkan informasi antara lain mengenai sistem operasi dan waktu dilakukannya proses acquiring terhadap image memory Analisis Proses Tahapan Proses ini merupakan analisis semua kegiatan dari proses yang berjalan didalam sistem ketika sedang menyala dan dilakukan capture image menggunakan Helix. Terdapat beberapa tahapan, yaitu sebagai berikut : 1. Pslist, berisi semua proses yang berjalan aktif pada sistem. 2. Psscan, digunakan untuk melihat proses aktif yang disembunyikan oleh sistem. 3. Pstree, digunakan untuk melihat proses dan sub-proses yang berjalan pada sistem Analisis Network Pada proses analisis ini dilakukan analisis terhadap aktivitas network yang terjadi saat sistem bekerja dan dilakukan acquisition. 1. Connscan, perintah yang digunakan untuk melihat segala aktivitas jaringan yang dilakukan oleh sistem. 2. Pslist egrep, merupakan perintah gabungan untuk menguraikan process id yang didapatkan pada tahapan connscan diatas Analisis Apihooks Malware menggunakan apihooks untuk mencegah sebuah program berjalan atau menyusupi program ketika ingin menjalankan fungsi di windows. Beberapa analisis yang dilakukan antara lain adalah sebagai berikut : 1. Tahapan pertama yang dilakukan adalah mencari alamat dari apihooks yang terinfeksi malware. 2. Tahapan berikutnya adalah melakukan analisis lebih mendalam terhadap alamat apihooks yang ditemukan dengan menggunakan perintah volshell pada volatility Analisis Registry Pada proses ini dilakukan anailisa terhadap registry komputer korban agar diketahui aktivitas dari zeus malware tersebut ketika menginfeksi memory dan registry dari sistem. Tahapannya adalah sebagai berikut : 1. Hivelist, merupakan proses analisis terhadap aktivitas registry sebagai dampak dari aktivitas yang dilakukan oleh zeus malware. 2. Printkey, selanjutnya adalah melakukan analisa terhadap aktivitas zeus malware pada registry secara lebih detail lagi berdasarkan informasi yang didapat dari hivelist. 3. Userassist, tahapan ini merupakan proses analisis registry yang berguna untuk mencari program apa saja yang telah berjalan atau di eksekusi termasuk juga didalamnya jika malware di eksekusi Analisis Dump Process. Pada proses ini dilakukan analisis terhadap beberapa proses yang dicurigai mengandung zeus malware berdasarkan analisis yang dilakukan sebelumnya dan sengaja diubah menjadi file dump untuk kepentingan scanning virus, setiap proses pada tahapan ini merujuk pada process ID yang telah ditemukan sebelumnya. Beberapa tahapan yang akan dilakukan adalah sebagai berikut : 1. Procmemdump, merupakan proses dump memory termasuk slack space pada memory sistem. 2. Malfind dump, proses ini dilakukan untuk mendapatkan memory dump dari injeksi kode yang dilakukan oleh zeus malware. 3. Vaddump, merupakan respon dari proses vorshell setelah mendapatkan informasi alamat dari apihooks yang ada. Proses vaddump akan mencari alamat apihooks tersebut dan menjadikannya file dump memory Analisis File Dump. Proses ini adalah proses lanjutan dari analisis dump process yang telah dilakukan sebelumnya. Setiap hasil yang didapat dilakukan live scanning virus menggunakan website virus total untuk mengetahui kandungan virus yang terdapat didalamnya. Semua proses analisis ini menggunakan tools volatility pada kali linux. Secara lengkap tahapan pada proses ini dapat dilihat pada tabel 1 berikut ini : Tabel 1 Index Command Volatility Pada Analisis 4.2 Hasil Tahapan ini merupakan hasil akhir dari proses analisis yang telah dilakukan sebelumnya. Hasil dari analisis pada penelitian ini diharapkan dapat menjawab semua pertanyaan yang menjadi tema dari masalah yang diangkat pada penelitian. Berikut adalah uraian dari hasil proses analisis yang telah dilakukan sebelumnya : 1. Pada proses analisis network ditemukan alamat IP yang berbeda dari alamat IP lokal crime scene, yaitu Setelah dilakukan penelusuran terhadap alamat IP tersebut, dapat diketahui bahwa alamat IP tersebut berasal dari United States. 2. Pada proses analisis network dilakukan analisis lebih mendalam terhadap process ID yang ada, sehingga didapatkan bahwa alamat IP berjalan pada proses explorer dengan process ID 1708 yang bukan merupakan browser internet. 3. Pada proses analisis apihooks ditemukan alamat dari apihooks adalah 0x

5 4. Alamat apihooks yang ditemukan menjadi dasar untuk melakukan analisis terhadap alamat tersebut menggunakan volshell, ditemukan fungsi yang dijalankan dari alamat apihooks itu adalah PUSH EBP yang merupakan unknown function. Kemudian juga dalam analisis volshell ditemukan embedded code yang dijalankan oleh alamat apihooks. 5. Pada proses analisis registry ditemukan file yang selalu berjalan ketika sistem pertama kali dihidupkan yaitu file fieqp.exe. 6. Pada anailisis dump process dilakukan sebuah usaha untuk mendapatkan file dump dari process ID 1708 dan alamat apihooks 0x yang akan digunakan untuk analisis virus total. 7. Pada proses analisis file dump ditemukan virus disetiap file dump yang telah diproses menggunakan procmemdump, malfind dan vaddump. 8. Analisis hexa data pada file dump malfind ditemukan berbagai macam informasi mengenai embedded code yang dijalankan oleh zeus malware. 9. Terdapat persamaan md5 antara malfinddump.exe dan vaddump.exe V. KESIMPULAN DAN SARAN KESIMPULAN Berdasarkan hasil dari proses analisis penelitian, maka dapat ditarik beberapa kesimpulan yang antara lain adalah sebagai berikut : 1. Cara untuk mengidentifikasikan karakteristik dan bukti digital dari sebuah aktivitas zeus malware adalah dengan menggunakan teknik live forensics, hal ini terkait dengan analisa bahwa zeus malware melakukan serangan melalui jaringan komputer dan aktivitasnya berjalan ketika sistem dalam keadaaan menyala maka teknik live forensics diperlukan sebagai solusi untuk medapatkan bukti digital dari sebuah aktivitas zeus malware yang berupa image memory dari sebuah sistem, selanjutnya bukti digital yang telah didapatkan dari proses live forensics tersebut di analisa lebih mendalam untuk mengetahui karakteristik dari aktivitas zeus malware agar menghasilkan data artefak berupa karakteristik dari aktivitas zeus malware. 2. Teknik live forensics pada penelitian ini digunakan untuk mengangkat image memory sebagai bukti digital dari sistem yang dijadikan objek penelitian dan terindikasi mendapat serangan zeus malware. Proses teknik live forensics pada penelitian ini dilakukan dengan cara mengangkat image memory dengan memanfaatkan jaringan komputer sebagai media pengiriminan data berupa image memory dari sistem tersebut, hal ini dilakukan untuk menghindarkan zeus malware agar tidak menginfeksi sistem yang dimiliki oleh investigator. 3. Hasil yang didapat pada penelitian ini berupa data artefak aktivitas zeus malware menjadi landasan indikator yang kuat akan keberhasilan penelitian yang dilakukan, sehingga proses analisis yang telah dilakukan pada bab sebelumnya dengan tahapan tahapan yang terstruktur HACKING AND DIGITAL FORENSICS EXPOSE (H@DFEX 2014) ISSN: dapat dijadikan sebagai acuan dalam membuat sebuah kerangka investigasi untuk mendukung investigasi malware forensics secara umum karena tools volatility yang digunakan untuk menganalisa image memory pada penelitian ini adalah tools analisis terhadap image memory dan bukanlah tools khusus untuk menganalisa sebuah zeus malware. Berdasarkan fakta tersebut dan hasil yang telah didapat, maka tahapan tahapan analisis dalam penelitian ini dapat dijadikan sebagai sebuah kerangka investigasi malware forensics untuk membantu investigasi malware forensics dalam mengungkap kejahatan yang melibatkan teknologi komputer didalamnya. SARAN Berdasarkan kekurangan dan keterbatasan yang muncul pada saat penelitian, maka saran untuk pengembangan penelitian di masa yang akan datang adalah sebagai berikut : 1. Penelitian selanjutnya diharapkan dapat menggunakan zeus malware versi terbaru yang telah menggunakan teknologi peer to peer. 2. Penelitian ini menggunakan perangkat lunak open source pada semua prosesnya, diharapkan penelitian selanjutnya dapat menggunakan lab khusus digital forensik. 3. Penelitian selanjutnya dapat dilakukan dengan melibatkan banyak komputer yang terhubung pada satu sistem jaringan komputer. DAFTAR PUSTAKA [1] L. M. Ibrahim, Detection of Zeus Botnet in Computers Networks and Internet, vol. 6, no. 1, pp , [2] M. Lessing and B. Von Solms, Live Forensic Acquisition as Alternative to Traditional Forensic Processes, p. 18, [3] EC-Council, CHFI - Computer Forensics In Today s World. EC-Council, p. 28, [4] Asrizal, Digital Forensik, pp. 1 15, [5] T. Sukardi, F orensik K omputer Prinsip Prinsip Dasar, pp. 1 21, [6] A. Flaglien, Cross-computer malware detection in digital forensics, [7] M. Brand, Analysis Avoidance Techniques of Malicious Software, no. November, [8] G. Kaur and B. Nagpal, Exploring the Malware Analysis Landscape for Forensic Investigation, vol. 3, no. 7, pp. 1 6,