Analisis Forensik Windows Timeline untuk Rekonstruksi Aktivitas Pengguna Berbasis NIST SP 800-86
DOI:
https://doi.org/10.56706/ik.v20i1.157Keywords:
Forensik Digital, Windows Timeline, NIST SP 800-86, ActivitiesCache.db, KAPEAbstract
Penelitian ini mengevaluasi karakteristik artefak Windows Timeline dalam mendukung rekonstruksi aktivitas pengguna berdasarkan kerangka kerja NIST SP 800-86 melalui pendekatan perbandingan dengan ground truth pada skenario terkontrol. Eksperimen dilakukan dalam lingkungan terbatas dengan sembilan aktivitas tunggal yang mencakup penggunaan aplikasi perkantoran, peramban, dan clipboard untuk mengamati kesesuaian data yang dihasilkan dalam basis data ActivitiesCache.db. Hasil menunjukkan adanya konsistensi awal pada informasi waktu (timestamp) antara artefak dan ground truth, meskipun ditemukan keterbatasan pada kelengkapan data seperti tidak selalu tersedianya detail konten atau URL spesifik. Temuan ini mengindikasikan bahwa artefak Windows Timeline berpotensi menjadi sumber informasi pendukung dalam analisis forensik digital, namun belum dapat digunakan sebagai satu-satunya dasar pembuktian. Dengan mempertimbangkan keterbatasan jumlah sampel, variasi perangkat, dan kondisi sistem yang belum merepresentasikan lingkungan nyata, penelitian ini bersifat eksploratif dan memerlukan pengujian lanjutan dengan skenario yang lebih kompleks dan beragam.
References
V. Marziale, “An Incomplete Tour of the Windows 10 Activity Timeline,” in Proceedings of the Digital Forensic Research Conference (DFRWS 2019 USA), BlackBag Technologies, 2019. [Online]. Available: https://dfrws.org
I. Mikhailov, “No Time to Waste,” GROUP-IB. Accessed: Feb. 14, 2026. [Online]. Available: https://www.group-ib.com/blog/windows10-timeline-for-forensics/
D. V. Marziale, “Exploring the Windows Activity Timeline, Part 1: The High Points,” Cellebrite. Accessed: Feb. 14, 2026. [Online]. Available: https://cellebrite.com/en/blog/exploring-the-windows-activity-timeline-part-1-the-high-points/
I. Shawahna, “Extracting Digital Artefacts from Windows 10 Timeline Activities Cache Database,” Researchgate, 2022, [Online]. Available: https://www.researchgate.net/publication/357505459_Extracting_Digital_Artefacts_from_Windows_10_Timeline_Activities_Cache_Database
D. V. Marziale, “Exploring the Windows Activity Timeline, Part 3: The Value of Clipboard Content,” Cellebrite. Accessed: Feb. 14, 2026. [Online]. Available: https://cellebrite.com/en/blog/exploring-the-windows-activity-timeline-part-3-the-value-of-clipboard-content/
F. Breitinger, H. Studiawan, and C. Hargreaves, “SoK: Timeline based event reconstruction for digital forensics: Terminology, methodology, and current challenges,” Forensic Sci. Int. Digit. Investig., vol. 53, 2025, doi: 10.1016/j.fsidi.2025.301932.
K. Kent, S. Chevalier, T. Grance, and H. Dang, “Guide to Integrating Forensic Techniques into Incident Response,” Natl. Inst. Stand. Technol., 2006.
E. Casey, Forensic Science, Computers, and the Internet. 2011.
N. Reddy, Windows Forensics. 2019. doi: 10.1007/978-1-4842-4460-9_2.
A. Rathbun, “Windows 10 vs. Windows 11, What Has Changed?,” 2022, SANS Institute.
D. S, L. K, and S. Shaji, “Uncovering Digital Evidence through Timeline Artifact Analysis in Windows OS Systems,” Int. J. Recent Eng. Res. Dev., vol. 10, no. 2, pp. 13–19, 2025, doi: 10.56581/ijrerd.10.02.13-19.
M. Owens, The definitive guide to SQLite. 2010. doi: 10.1007/978-1-4302-0172-4.
Downloads
Submitted
Accepted
Published
Issue
Section
License
Copyright (c) 2026 Info Kripto
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
