PENERAPAN VOLATILITY DALAM MEMORY FORENSICS UNTUK DETEKSI REMOTE ACCESS TROJAN MELALUI PORT 1337
Abstract
Perkembangan teknologi informasi meningkatkan ancaman keamanan siber, salah satunya malware jenis Trojan yang dapat memberikan akses ilegal kepada penyerang melalui komunikasi jaringan tersembunyi. Penelitian ini bertujuan mengidentifikasi indikasi serangan Trojan melalui analisis memory forensics menggunakan Volatility Framework pada filememory dump sistem operasi Windows XP SP2 32-bit. Proses analisis dilakukan menggunakan plugin imageinfo, psscan, procdump, dan connscan untuk mengidentifikasi profil sistem, proses aktif, file executable, serta koneksi jaringan mencurigakan pada port1337. Hasil penelitian menunjukkan adanya proses notepad.exe dengan PID 1776 yang terhubung dengan IP remote melalui port 1337. File hasil process dumping kemudian diverifikasi menggunakan VirusTotal dan terdeteksi malicious oleh 59 dari 72 engine antivirus dengan tingkat deteksi sebesar 79,17%. Hasil penelitian menunjukkan bahwa metode memory forensics mampu membantu proses investigasi digital dalam mendeteksi aktivitas Trojan melalui analisis artefak volatile pada memory dump.
