Problem Set 1 - http://old.honeynet.org/scans/scan24/
Skenario
Singkat cerita, Joe Jacobs, 28, ditangkap karena dugaan mengedarkan narkotika kepada anak - anak SMA. Joe Jacobs ditahan saat ia melancarkan aksinya di SMA Smith Hill. Polisi telah menyita barang bukti sebuah floppy disk untuk kasus tersebut. Disk tersebut telah dibuatkan image oleh polisi untuk dianalisis. Joe Jacobs telah menyerahkan jaminan sejumlah US$10.000,- agar dapat dibebaskan. Polisi harus dapat segera menganalisis barang bukti tersebut agar Jacobs dapat ditahan sebelum ia berhasil kabur dari kota.
Pertanyaan
Kasus tersebut membutuhkan sejumlah pertanyaan untuk dijawab agar dapat menghasilkan bukti yang tidak terbantahkan untuk menahan Joe Jacob. Pertanyaannya adalah:
- Siapa dan di mana alamat penyedia ganja untuk Jacobs?
- Adakah data penting di dalam berkas coverpage.jpg dan mengapa hal tersebut penting?
- Sebutkan nama - nama sekolah lain selain SMA Smith Hill (jika ada)
- Proses apa saja yang dilakukan tersangka kepada setiap berkas agar berkas tersebut sulit untuk diidentifikasi dan dianalisis?
- Proses apa saja yang dilakukan penyelidik (anda) dalam memeriksa setiap isi dari berkas?
Sumber Barang Bukti
image.zip MD5 = b676147f63923e1f428131d59b1d6a72 ( image.zip )
Kakas Untuk Pengerjaan
·
Autopsy (http://www.sleuthkit.org/autopsy/
·
The Sleuth
Kit (http://www.sleuthkit.org/)
Binwalk
(http://binwalk.org/)
Langkah Kerja
File
pertama yang memiliki sejumlah petunjuk adalah file Jimmy Jungle.doc yang
memiliki isi sbb:
isi dokumen Jimmy Jungle.doc
Jelas
sekali dokumen tersebut memberikan identitas suplier ganja yang merupakan rekan
dari Joe Jacob. Hal tersebut otomatis memberikan jawaban soal No. 1.
File
selanjutnya yang memberikan petunjuk adalah scheduled visits.exe . File
tersebut memiliki mismatch pada ekstensinya yang menyebabkan kesulitan dalam
melakukan ektraksi. Jika file tersebut diekspor menggunakan autopsy dan
kemudian di ekstrak, maka ektraktor akan mengeluarkan error “end not found”.
Binwalk dapat mengektraksi file ini dengan sempurna, namun file ini ternyata
dilindungi oleh kata sandi.
ekstensi mismatch pada file scheduled visits
File
selanjutnya yang harus diperiksa adalah Cover Page.jpgc . File tersebut
memiliki keanehan dalam informasi sektor dan ukuran filenya. Kedua hal tersebut
tidak cocok. File tersebut menunjuk kepada sektor 451 saja, namun ukuran file
tersebut adalah 15585 byte yang jika dicari jumlah sektor yang digunakan oleh
file tersebut akan menghasilkan 31 sektor ((15585+511) div 512). Jumlah sektor
tersebut secara kebetulan sama dengan rantai sektor sisa yang teralokasikan,
yaitu 73-103. Pengecekan setiap sektor 103 akan menghasilkan informasi baru
yaitu password file scheduled visits.zip yang sebelumnya.
isi sektor 103 jika dicek menggunakan autopsy
Kata sandi
tersebut berfungsi pada file scheduled visits.zip . File tersebut berisikan
file scheduled visists.xls yang berisikan nama – nama sekolah yang dikunjungi
oleh Joe Jacob. Hal tersebut sekaligus menjawab pertanyaan nomor 3.
Nama - nama sekolah yang dikunjungi Joe Jacob
Berikut adalah jawaban no. 4:
- Cover page.jpgc: mengganti informasi sektor tempat file disimpan
- Jimmy Jungle.doc: menghapus file
- Scheduled Visits.exe: mengganti ekstensi file
dan jawaban no. 5 telah dijabarkan sejalan dengan penjelasan langkah kerja.
Problem Set 2 - http://pivotproject.org/challenges/forensic-image-extraction
Skenario
Pembelajaran dalam melakukan pengekstrakan berkas dengan menggunakan FTK Imager.
Pertanyaan
- Terdapat kombinasi di dalam berkas 001 - apa dan untuk apa kombinasi tersbut?
- Kapan waktu dan tanggal pertemuan? Kejahatan apakah yang dilakukan?
- Apa senjata yang digunakan pembunuh?
- Siapakah koban pembunuhan?
Sumber Barang Bukti
FlashOne.001FlashTwo.001
Kakas Untuk Pengerjaan
FTK Imager (http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.2)
Langkah Kerja
Soal ini dikerjakan hanya dengan menggunakan satu tool yaitu FTK Imager.
Proses pengerjaan dilakukan dengan memeriksa setiap file di dalam image satu
demi satu. Petunjuk pertama yang ditemukan adalah fungsi kombinasi. Kombinasi
tersbut digunakan untuk membuka brankas. Informasi tersebut didapatkan di dalam
file todo.txt.
isi file todo.txt
Petunjuk selanjutnya ditemukan di dalam file
2.jpg dengan menggunakan text editor. Kombinasi brankas ditemukan di dalam file
tersebut. Kedua file tersebut sekaligus enjawab pertanyaan nomor 1.
isi file 2.jpg dilihat dengan text editor
File
selanjutnya yang mengandung informasi adalah file journal.doc dan Bank
Location.doc . Berikut adalah isi dari
file tersebut.
isi dari journal.doc
isi dari Bank Location.doc
Kedua file
tersebut sekaligus menjawab pertanyaan nomor 2.
File
selanjutnya yang memiliki informasi adalah file !.jpg . File tersebut
mengandung informasi tentang siapa korban pembunuhan. File ini menjawab
pertanyaan nomor 4. Nama korban adalah Dolly Parton, seorang penyanyi
berkewarganegaraan Amerika Serikat. Berikut merupakan file !.jpg .
Dolly Parton, korban pembunuhan
File
selanjutnya yang memiliki informasi adalah file 4.jpg . File tersebut memiliki
informasi mengenai senjata yang digunakan untuk melakukan pembunuhan. File
tersebut sekaligus menjawab pertanyaan nomor 3. Berikut adalah isi file 4.jpg .
senjata pembunuhan Dolly Parton. Kaleng
Hairspray yang mencurigakan
Problem Set 3 - http://pivotproject.org/challenges/digital-forensics-challenge
Skenario - TBA
Pertanyaan - TBA
Sumber Barang Bukti - TBA
Kakas Untuk Pengerjaan - TBA
Langkah Kerja - TBA
Pertanyaan - TBA
Sumber Barang Bukti - TBA
Kakas Untuk Pengerjaan - TBA
Langkah Kerja - TBA