Sunday, 30 October 2016

II4033 - Digital Forensic Tugas Ujian Tengah Semester. (CW: No Rant Inside)

Problem Set 1 - http://old.honeynet.org/scans/scan24/

Skenario


Singkat cerita, Joe Jacobs, 28, ditangkap karena dugaan mengedarkan narkotika kepada anak - anak SMA. Joe Jacobs ditahan saat ia melancarkan aksinya di SMA Smith Hill. Polisi telah menyita barang bukti sebuah floppy disk untuk kasus tersebut. Disk tersebut telah dibuatkan image oleh polisi untuk dianalisis. Joe Jacobs telah menyerahkan jaminan sejumlah US$10.000,- agar dapat dibebaskan. Polisi harus dapat segera menganalisis barang bukti tersebut agar Jacobs dapat ditahan sebelum ia berhasil kabur dari kota.

Pertanyaan

Kasus tersebut membutuhkan sejumlah pertanyaan untuk dijawab agar dapat menghasilkan bukti yang tidak terbantahkan untuk menahan Joe Jacob. Pertanyaannya adalah:

  1. Siapa dan di mana alamat penyedia ganja untuk Jacobs?
  2. Adakah data penting di dalam berkas coverpage.jpg dan mengapa hal tersebut penting?
  3. Sebutkan nama - nama sekolah lain selain SMA Smith Hill (jika ada)
  4. Proses apa saja yang dilakukan tersangka kepada setiap berkas agar berkas tersebut sulit untuk diidentifikasi dan dianalisis?
  5. Proses apa saja yang dilakukan penyelidik (anda) dalam memeriksa setiap isi dari berkas?

Sumber Barang Bukti

image.zip MD5 = b676147f63923e1f428131d59b1d6a72 ( image.zip )

Kakas Untuk Pengerjaan

·       Autopsy (http://www.sleuthkit.org/autopsy/
·       The Sleuth Kit (http://www.sleuthkit.org/)
Binwalk (http://binwalk.org/)

Langkah Kerja

File pertama yang memiliki sejumlah petunjuk adalah file Jimmy Jungle.doc yang memiliki isi sbb:


isi dokumen Jimmy Jungle.doc

Jelas sekali dokumen tersebut memberikan identitas suplier ganja yang merupakan rekan dari Joe Jacob. Hal tersebut otomatis memberikan jawaban soal No. 1.
File selanjutnya yang memberikan petunjuk adalah scheduled visits.exe . File tersebut memiliki mismatch pada ekstensinya yang menyebabkan kesulitan dalam melakukan ektraksi. Jika file tersebut diekspor menggunakan autopsy dan kemudian di ekstrak, maka ektraktor akan mengeluarkan error “end not found”. Binwalk dapat mengektraksi file ini dengan sempurna, namun file ini ternyata dilindungi oleh kata sandi.


ekstensi mismatch pada file scheduled visits

File selanjutnya yang harus diperiksa adalah Cover Page.jpgc . File tersebut memiliki keanehan dalam informasi sektor dan ukuran filenya. Kedua hal tersebut tidak cocok. File tersebut menunjuk kepada sektor 451 saja, namun ukuran file tersebut adalah 15585 byte yang jika dicari jumlah sektor yang digunakan oleh file tersebut akan menghasilkan 31 sektor ((15585+511) div 512). Jumlah sektor tersebut secara kebetulan sama dengan rantai sektor sisa yang teralokasikan, yaitu 73-103. Pengecekan setiap sektor 103 akan menghasilkan informasi baru yaitu password file scheduled visits.zip yang sebelumnya.

isi sektor 103 jika dicek menggunakan autopsy

Kata sandi tersebut berfungsi pada file scheduled visits.zip . File tersebut berisikan file scheduled visists.xls yang berisikan nama – nama sekolah yang dikunjungi oleh Joe Jacob. Hal tersebut sekaligus menjawab pertanyaan nomor 3.


Nama - nama sekolah yang dikunjungi Joe Jacob

Berikut adalah jawaban no. 4:

  • Cover page.jpgc: mengganti informasi sektor tempat file disimpan
  • Jimmy Jungle.doc: menghapus file
  • Scheduled Visits.exe: mengganti ekstensi file

dan jawaban no. 5 telah dijabarkan sejalan dengan penjelasan langkah kerja.



Problem Set 2 - http://pivotproject.org/challenges/forensic-image-extraction

Skenario

Pembelajaran dalam melakukan pengekstrakan berkas dengan menggunakan FTK Imager.

Pertanyaan


  1. Terdapat kombinasi di dalam berkas 001 - apa dan untuk apa kombinasi tersbut?
  2. Kapan waktu dan tanggal pertemuan? Kejahatan apakah yang dilakukan?
  3. Apa senjata yang digunakan pembunuh?
  4. Siapakah koban pembunuhan?


Sumber Barang Bukti

FlashOne.001FlashTwo.001


Kakas Untuk Pengerjaan

FTK Imager (http://accessdata.com/product-download/digital-forensics/ftk-imager-version-3.4.2)


Langkah Kerja

Soal ini dikerjakan hanya dengan menggunakan satu tool yaitu FTK Imager. Proses pengerjaan dilakukan dengan memeriksa setiap file di dalam image satu demi satu. Petunjuk pertama yang ditemukan adalah fungsi kombinasi. Kombinasi tersbut digunakan untuk membuka brankas. Informasi tersebut didapatkan di dalam file todo.txt.


isi file todo.txt

Petunjuk selanjutnya ditemukan di dalam file 2.jpg dengan menggunakan text editor. Kombinasi brankas ditemukan di dalam file tersebut. Kedua file tersebut sekaligus enjawab pertanyaan nomor 1.


isi file 2.jpg dilihat dengan text editor
File selanjutnya yang mengandung informasi adalah file journal.doc dan Bank Location.doc .  Berikut adalah isi dari file tersebut.


isi dari journal.doc


isi dari Bank Location.doc
Kedua file tersebut sekaligus menjawab pertanyaan nomor 2.
File selanjutnya yang memiliki informasi adalah file !.jpg . File tersebut mengandung informasi tentang siapa korban pembunuhan. File ini menjawab pertanyaan nomor 4. Nama korban adalah Dolly Parton, seorang penyanyi berkewarganegaraan Amerika Serikat. Berikut merupakan file !.jpg .



Dolly Parton, korban pembunuhan

File selanjutnya yang memiliki informasi adalah file 4.jpg . File tersebut memiliki informasi mengenai senjata yang digunakan untuk melakukan pembunuhan. File tersebut sekaligus menjawab pertanyaan nomor 3. Berikut adalah isi file 4.jpg .


senjata pembunuhan Dolly Parton. Kaleng Hairspray yang mencurigakan

Problem Set 3 - http://pivotproject.org/challenges/digital-forensics-challenge

Skenario - TBA
Pertanyaan - TBA
Sumber Barang Bukti - TBA
Kakas Untuk Pengerjaan - TBA
Langkah Kerja - TBA