modul file systems forensics using...

Modul File Systems Forensics Using Linux


2015

Incubator Bussines Center:

Komputer ForensikModul Kursus Komputer Forensik


Trinata Teknologi

2015

Incubator Bussines Center:

Komputer ForensikModul Kursus Komputer Forensik


All product names and service identified throughout this book are trademarks or re-

gistered trademarks of their respective companies. They are used throughout this

book in editorial fashion only and for the benefit of such companies. No such uses,

or the use of any trade name, is intended to convey endorsement or other affiliation

with the book.

Trinata Teknologi2015ISBN : xxx-xxx-xxxx-xx-x

License : Common Creative - Attribution-No Derivative Works 3.0 Unported

• You are free:

– to Share — to copy, distribute and transmit the work

• Under the following conditions:

– Attribution. You must attribute the work in the manner specified by the

author or licensor (but not in any way that suggests that they endorse you

or your use of the work).

– No Derivative Works. You may not alter, transform, or build upon this

work.

• For any reuse or distribution, you must make clear to others the license terms

of this work. The best way to do this is with a link to this web page.

• Any of the above conditions can be waived if you get permission from the co-

pyright holder.

• Nothing in this license impairs or restricts the author’s moral rights

The design, type setting, layout and text processing of this book make use of various Open

Source Softwares, such as LATEX, LYX, various pdf tools, Gimp, Inkscape and Open Office, as

well as the Open Source Operating System, GNU/Linux.

Printing : Gunadarma Press

Daftar Isi

I Dasar Komputer Forensik 11

1 Komputer Forensik 13

1.1 Jenis Investigasi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.2 Aturan Investigasi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.3 Mendefinisikan Proses . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

1.4 Pasca Investigasi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2 Mengkoleksi Barang Bukti Sebuah Sistem Tunggal 23

II Standar Operasional Prosedur Pengambilan Barang Bukti 29

3 Pengamanan TKP 31

3.1 Peralatan yang dibutuhkan . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3.2 Prosedur pengamanan barang bukti di TKP . . . . . . . . . . . . . . . . 31

3.2.1 Umum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3.2.2 Komputer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3.2.2.1 Mati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.2.2.2 Hidup . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4 Koleksi dan Akuisisi Barang Bukti 37

4.1 Koleksi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.2 Akuisisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.2.1 Persiapan Media Penyimpanan Barang Bukti . . . . . . . . . . . 39

4.2.2 Mengambil Salinan Barang Bukti Digital berupa RAM . . . . . . 40

4.2.2.1 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.2.2.2 Sistem operasi keturunan Unix . . . . . . . . . . . . . . 41

4.2.3 Mengambil Salinan Barang Bukti Digital berupa salinan File . . 42

4.2.3.1 Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

4.2.3.2 Sistem operasi keturunan UNIX . . . . . . . . . . . . . 42

4.2.4 Mengambil Salinan Barang Bukti Digital berupa Hardisk . . . . 42

5

Daftar Isi

III Pengantar Analisis Hardisk (Non Volatile) 45

5 Persiapan Analisis 47

6 Analisis Sistem Operasi Windows 51

6.1 Mengetahui Stuktur Partisi . . . . . . . . . . . . . . . . . . . . . . . . . . 51

6.2 Mengetahui Konten Partisi . . . . . . . . . . . . . . . . . . . . . . . . . . 52

6.3 Mengetahui File Terhapus . . . . . . . . . . . . . . . . . . . . . . . . . . 53

6.4 Mencari File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

6.5 Merekonstruksi File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.6 Mengetahui History Browser . . . . . . . . . . . . . . . . . . . . . . . . . 55

6.7 Mengetahui Jenis File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

6.8 Mengetahui Timestamp Konten Partisi . . . . . . . . . . . . . . . . . . . 57

6.9 Mounting Barang Bukti . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

6.10 Mengetahui Versi Windows dari Registry . . . . . . . . . . . . . . . . . . 59

6.11 Mengetahui User Account . . . . . . . . . . . . . . . . . . . . . . . . . . 59

6.12 Mengetahui Koneksi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

6.13 Tugas Mandiri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

7 Analisis Sistem Operasi Linux 63

7.1 Mounting Hardisk Barang Bukti . . . . . . . . . . . . . . . . . . . . . . 63

7.2 Mengetahui Susunan Partisi . . . . . . . . . . . . . . . . . . . . . . . . . 64

7.3 Mengetahui Isi Partisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

7.4 Mencari File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66


7.6 Melihat File yang Terhapus . . . . . . . . . . . . . . . . . . . . . . . . . . 67

7.7 Mengetahui Mount Point . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

7.8 Mengetahui Timestamp dari File . . . . . . . . . . . . . . . . . . . . . . 70

7.9 Memeriksa Jenis File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

7.10 Memeriksa Timestamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

7.11 Melakukan File Carving . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

7.12 Tugas Mandiri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8 Analisis Sistem Operasi FreeBSD 73

8.1 Melihat Susunan Partisi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

8.2 Mengetahui Konten Partisi . . . . . . . . . . . . . . . . . . . . . . . . . . 74

8.3 Mencari File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75


8.5 Mengetahui Timestamp File System . . . . . . . . . . . . . . . . . . . . 76

8.6 Memeriksa Jenis File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

6 Komputer Forensik

Daftar Isi

IV Pengantar Analisis Live Data (Volatile Data) 81

9 Analisis RAM pada Windows 83

9.1 Mengetahui Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

9.2 Melihat Daftar Proses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

9.3 Melihat Daftar Koneksi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

9.4 Melihat Registri Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 84

9.5 Melihat Isi File Password Windows . . . . . . . . . . . . . . . . . . . . . 85

9.6 Merekonstruksi File Executable . . . . . . . . . . . . . . . . . . . . . . . 85

10 Analisis RAM pada GNU/Linux 87

10.1 Melihat Daftar Proses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87

10.2 Melihat Koneksi Yang Terjadi . . . . . . . . . . . . . . . . . . . . . . . . 88

10.3 Mencari File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

10.4 Mengembalikan File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

10.5 Latihan Mandiri . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Komputer Forensik 7

Daftar Isi

8 Komputer Forensik

Pendahuluan

Incubator Bussines Center

Incubator Business Center (IBC) didirikan pada tahun 2002 di Universitas Gunadar-

ma dengan bantuan dana dari Deperindag. IBC merupakan suatu lembaga yang me-

wadahi mahasiswa dalam pelatihan entrepreneurship dan membantu dalam pem-

bentukan perusahaan. Pada tahun 2008, IBC beraliansi sebagai Pusat Open Sour-

ce Software (POSS) dengan pendanaan bersumber dari Menristek. Hingga pada ta-

hun 2011 dengan dukungan dana dari Beasiswa Unggulan Kemdikbud terbentuklah

suatu program baru yaitu program master yang disebut sebagai S2 FastTrack un-

tuk menampung dan melatih mahasiswa S1 yang telah diseleksi berdasarkan indeks

prestasi mereka selama kuliah untuk dilatih menjadi seorang entrepreneurship.

Pada tahun 2012, IBC berkolaborasi dan bekerja sama dalam upaya untuk menjadi

sebuah lembaga yang mandiri dengan sumber dana berasal dari Universitas Guna-

darma untuk infrastruktur, fasilitas, dan SDM. Hingga kini IBC masih terus berkem-

bang untuk menjadi lebih baik lagi dan mencapai target yang diinginkan.

Target yg Ingin Dicapai

Target yang ingin dicapai untuk pembaca modul ini adalah:

1. Pembaca dapat mengetahui langkah-langkah yang benar pada digital forensik

2. Pembaca dapat membuat dan menganalisa barang bukti berupa hardisk

3. Pembaca dapat membuat dan menganalisa barang bukti berupa aktifitas kom-

puter

4. Pembaca dapat menyimpulkan apa yang terjadi pada bukti digital

9

Bagian I

Dasar Komputer Forensik

11

Modul 1Komputer Forensik

“Forensik adalah penggunaan ilmu pengetahuan dan teknologi untuk me-

nyelidiki dan menetapkan fakta-fakta di pengadilan pidana atau perdata”

Spionase perusahaan, gambar terlarang, pelanggaran kebijakan perusahaan, upaya

hacking. Bekerja di bidang teknologi informasi bahkan dengan waktu yang singkat

pasti akan menemukan dengan salah satu situasi ini. Ketika suatu insiden terjadi

, kata yang pertama keluar adalah “Apa yang terjadi??” terapkan komputer forensik

dengan benar dan jawablah pertanyaan itu dengan benar berdasarkan analisis teknis

dan hukum. Untuk memenuhi tujuan ini, seorang penyidik forensik harus mengga-

bungkan teknik forensik yang telah teruji, kerangka hukum, keterampilan investigasi,

dan teknologi mutakhir untuk menentukan fakta-fakta.

Forensik adalah proses hukum. Penyidik forensik harus memahami dan menerapkan

konsep-konsep hukum. Jika kejahatan cukup keji, pengacara akan memanggil penyi-

dik forensik untuk menjadi seorang saksi ahli terhadap penyelidikan yang dilakukan,

temuan, dan kualifikasi sebagai seorang penyidik. Jika seorang penyidik forensik ti-

dak melakukan penyelidikan dengan dedikasi terhadap proses, rincian teknis, ma-

salah hukum yang diperlukan, ataupun fakta-fakta yang ditemukan tidak berguna,

ekstrimnya penjahat dapat melarikan diri, rahasia bocor, penyidik akan dikenakan

tanggung jawab fidusa atas kesalahan yang dilakukan selama penyelidikan.

Untuk memasukkan ini semua ke dalam istilah yang lebih ringkas, bersiaplah. memi-

liki proses, memahami apa yang diketahui dan apa yang tidak diketahui, dan mem-

buat daftar siapa yang harus dihubungi ketika penyelidikan melebihi pengetahuan

yang telah dipelajari baik masalah teknis maupun hukum.

1.1. Jenis Investigasi

Menentukan jenis penyelidikan sangat penting karena akan mengarahkan pada suatu

proses tertentu yang harus dilakukan secara benar. Setiap jenis penyelidikan memi-

liki parameter dan prosesnya masing-masing, menentukan jenis penyelidikan juga

13

Komputer Forensik

dapat menghindari seorang penyidik forensik terhadap kesalahan-kesalahan yang

mungkin terjadi. Subbab berikutnya akan dijelaskan beberapa kasus yang sering ter-

jadi.

Pencurian Rahasia Dagang

Sejauh ini jenis yang paling umum dari penyelidikan forensik adalah bahwa pencu-

rian rahasia dagang. Black Law Dictonary mendefinisikan rahasia dagang sebagai:

“Informasi yang tidak diketahui umum atau yang telah ditentukan, mem-

berikan keunggulan kompetitif, telah dikembangkan dengan biaya(perusahaan)

dan merupakan subjek(perusahaan) untuk merahasikannya”

Rahasia dagang bisa berupa paten, merek dagang, atau hak kekayaan intelektual la-

innya, atau mungkin juga sesuatu yang sederhana namun penting seperti daftar pe-

langgan atau template proposal. Contoh klasik dari rahasia dagang adalah formula

coca cola dan KFC.

Rahasia dagang dilindungi oleh hukum, dan karyawan dan entitas lain di perusaha-

an dilarang mencuri atau membuat rahasia ini tersedia untuk orang lain. Meskipun

ada larangan ini, pencurian rahasia dagang oleh karyawan tetap merajalela. Ini bia-

sanya terjadi ketika seorang atau sekelompok karyawan meninggalkan perusahaan

untuk bekerja pada pesaing, bahkan sering terjadi karyawan membuat perusahaan

untuk menjadi saingan. Semua orang ingin menjadi lebih sukses, bagi seorang kar-

yawan memberikan informasi ini kepada majikan barunya akan membuat menjadi

lebih sukses. Tergantung pada sifat dari informasi yang diambil, hal ini dapat memi-

liki konsekuensi serius bagi pemilik informasi yang dicuri dari segi pelanggan hilang,

kontrak pendapatan, dan sebagainya.

Karena sebagian rahasia dagang saat ini disimpan secara elektronik, penyelidik fo-

rensik internal maupun eksternal menangani ini lebih dari yang lain. Tergantung

pada sifat dari informasi yang dicuri, kasus ini bisa menjadi penyelidikan yang ber-

langsung secara cepat, karena dampak keuangan yang berpotensi negatif terhadap

sebuah perusahaan.

Sementara penyelidikan ini mungkin dimulai oleh penyidik internal, penyidik inter-

nal dapat dengan cepat berubah menjadi sebuah litigasi dalam bentuk perintah pe-

nahanan sementara dan tuntutan hukum. Akibatnya, penyidik harus mengasumsik-

an dari awal bahwa bukti yang dikumpulkan dalam pencurian rahasia dagang yang

akhirnya akan disajikan dalam pengadilan harus menggunakan metode teknis yang

dapat dipertanggungjawabkan dan mengikuti proses yang tepat

Penyimpangan Perusahaan atau Karyawan

Penyelidikan terhadap penyimpangan pada salah satu bagian dari perusahaan, in-

dividu, atau kelompok karyawan dapat mengambil salah satu dari tiga bentuk : in-

14 Komputer Forensik

Komputer Forensik

ternal, eksternal seperti penyelidikan pemerintah, atau semi internal seperti penye-

lidikan yang dilakukan oleh direktur dan eksekutif senior. Penyelidikan ini memer-

lukan unsur kerahasiaan,sebagai tersangka biasanya karyawan aktif yang melanggar

hukum atau kebijakan perusahaan. Pengetahuan sederhana bahwa penyelidikan se-

dang terjadi akan cukup untuk tersangka untuk menghancurkan bukti, berpotensi

menyebabkan bahaya lebih. Sifat rahasia dari penyelidikan ini membuat mereka ber-

beda dan menentang. Cara alternatif mengumpulkan bukti dapat digunakan untuk

mempertahankan kerahasiaan penyelidikan. Kegiatan forensik ini mungkin saja ber-

langsung tanpa sepengetahuan departemen TI, membuat penelitian jadi lebih rumit.

Karena informasi yang dikumpulkan pada akhirnya digunakan pada kasus pidana,

metode yang digunakan harus ketat dan tak tergoyahkan

Pelanggaran Eksternal

Jenis investigasi ini mungkin paling sering terjadi karena biasanya akan langsung

masuk ke e media-media. Individu dari luar perusahaan menembus jaringan per-

usahaan untuk mengeksploitasi data atau jaringan itu sendiri untuk mendapatkan

keuntungan komersial, pembalasan, atau murni untuk bersenang-senang. Biasanya

serangan ini melibatkan data pelanggan seperti informasi transaksi atau catatan keu-

angan, jenis hacking ini bisa sangat berbahaya bagi reputasi perusahaan. Pencurian

informasi kartu kredit dan jaminan sosial dari suatu universitas adalah contoh terke-

nal dari pelanggaran eksternal. Waktu adalah esensi penting dalam situasi ini, tapi

sementara langkah-langkah harus diambil untuk mengamankan pelanggaran terse-

but. Sering terjadi perbaikan dan penyelidikan terjadi secara berurutan namun pada

kenyataannya harus terjadi secara bersamaan. Dokumentasi dalam penyelidikan ini

sangat penting, karena ini penting untuk memastikan bahwa bukti-bukti tersebut di-

amankan sehingga dapat digunakan kembali untuk pembuktian pidana dan perdata.

Mengetahui Jenis Kasus, seorang penyidik forensik

berurusan dengan mendefinisikan bagaimana melakukan

suatu penyelidikan. Penentuan ini tidak pernah semudah

kedengarannya, Kasus dapat meningkat dalam sekejap mata.

Seorang penyidik tidak ingin mendapat situasi dimana

bukti harus dibuang karena penyidik mengambil situasi

terlalu ringan dan tidak sepenuhnya memikirkan kasus yang

sedang dihadapi. Selalu memeperlakukan kasus baru dengan

prosedur standar yang sama yang telah dikenal dan teruji

dengan benar.

Komputer Forensik 15

Komputer Forensik

1.2. Aturan Investigasi

Kemampuan untuk menjadi kreatif dalam penemuan bukti, ketat dalam penerapan

proses disipilin, dan pemahaman tentang isu-isu hukum yang terlibat dalam setiap

langkahnya menentukan kualitas dari seorang penyelidik. Terkadang faktor lain ber-

main dalam keadaan, tergantung pada konteks penyelidikan yang sedang berlang-

sung. Sering terjadi seorang penyelidik merusak suatu kasus karena arogansi dan

ketidakmampuan terhadap kasus yang dihadapi. Setiap penyidik harus memiliki pe-

mahaman yang lengkap dan sempurna dari resiko yang dihadapi ketika akan memu-

lai suatu kasus.

Prasangka Penyidik

Penyidik harus memainkan perah pihak ketiga untuk menghilangkan prasangka, se-

bagai contoh seperti pada ilmu forensik tradisional, jika ilmuwan melakukan tes da-

rah dalam kasus kejahatan kekerasan berteman dengan tersangka, hasil tes akan

menghasilkan prasangka banyak orang dan hasilnya meragukan, hal yang sama ber-

laku pada komputer forensik. Hal ini berlaku untuk penyelidik forensik internal. Ji-

ka penyelidik dianggap akan beroperasi semata-mata demi kepentingan terbaik dari

atasannya bukan untuk kelanjutan dan kebenarannya, penyidik bisa menjadi sasar-

an empuk pengacara lawan. Penyidik internal perlu menggambil langkah-langkah

lebih untuk memastikan intergritas dan kelengkapan anlisisnya daripada peneliti ek-

ternal.

Untuk Mengurangi Prasangka, selalu berlatih pengungkapan

segala temuan kepada klien, baik sebagai internal maupun

eksternal. Diskusikan dengan klien tentang potensi

terjadinya konflik kepentingan, Jika pernah makan malam di

rumah tersangka dua tahun lalu, pastikan klien tau tentang

itu. Jika informasi ini diketahui orang lain tapi klien

anda tidak tahu, akan terjadi masalah yang sangat rumit.

Jangan takut merekomendasikan perusahaan pihak ketiga atau

penyidik yang dapat melakukan penyelidikan tanpa prasangka

dari orang lain.

Kualifikasi Penyidik

Penyidik harus memenuhi syarat untuk melakukan analisis dengan cara yang teram-

pil, untuk kasus kriminal biasanya para penegak hukum mengikuti latihan keras dan


Komputer Forensik

seminar untuk menjadi ahli dalam bidang ini. Umumnya, administrator IT melaku-

kan penyelidikan internal, atau dalam kasus perusahaan dalam skala besar, sebuah

divisi khusus dari perusahaan akan dibentuk. Jangan membuat kesalahan dengan

menganggap seseorang memenuhi syarat untuk menjadi pemeriksa forensik walau-

pun berposisi sebagai seorang manajer IT yang terampil. Jika tidak benar berkualitas

dan terpercaya untuk melakukan penyelidikan, pengadilan akan membuang semua

temuan dan tidak menganggapnya sama sekali.

Penggunaan Bukti

Bukti adalah barang yang rumit. Aturan terbaik adalah jika penyidik tidak mene-

mukan bukti secara empiris melalui investigasi yang dilakukan jangan pernah meng-

gunakannya, kabar angin tidak akan diterima di pengadilan. Jalan terbaik adalah

dengan melakukan setiap penyelidikan sebagai sebuah kertas kosong tanpa penge-

tahuan sebelumnya, memulai penyelidikan dengan pikiran terbuka. Alat dan pro-

ses ada karena suatu alasan; gunakan mereka dan percayai mereka, semakin banyak

agenda pribadi bahkan politik pada penyelidikan yang dilakukan maka semakin ti-

dak kredibel hasil penyelidikan di muka pengadilan.

Kewajiban Penyidik

Jika seorang penyidik telah mendapatkan peringatan untuk tidak melakukan penye-

lidikan, namun tetap memaksa untuk melakukan penyidikan, penyidik secara finan-

sial dan hukum bertanggung jawab jika tindakannya menjadi kasus perdata mau-

pun pidana. Dalam beberapa kasus, pengadilan membuang analisis dan pihak ketiga

melakukan penyelidikan baru. Dalam kasus perdata penyidik mungkin bertanggung

jawab atas kerusakan yang terjadi akibat kerusakan bukti semua pengacara perusa-

haan klien akan pergi sampai seseorang mengganti penyidik, dalam kasus pidana

mungkin penyidik harus membayar kelalaiannya dengan tidur di dalam penjara.

Untuk menjadi penyidik yang handal, Ketahui batas, dan

jangan takut untuk memanggil para profesional yang

memenuhi syarat jika situasi menuntut hal itu. Ini

mungkin terdengar sangat mendasar, tetapi berlatih dengan

alat yang ada, terus malakukan validasi ulang proses untuk

penanganan bukti dan menguji hasil dari alat yang ada.

Penyidik harus mampu melakukan eksekusi dengan sempurna

ketika saatnya tiba. Ini adalah pelajaran penting yang

banyak para penyidik awal mempelajarinya setelah sudah

berhadapan dengan pengacara lawan yang menggugat.


Komputer Forensik

1.3. Mendefinisikan Proses

Setelah membaca subbab sebelumnya diketahui bagaimana menjadi seorang penyi-

dik yang baik dan unsur-unsur apa saja yang mempengaruhinya. Subbab ini akan fo-

kus pada proses yang digunakan oleh Electronic Discovery Reference Model (EDRM).

ERDM adalah kelompok kerja industri yang telah dibuat pada bulan mei 2005 untuk

membuat proses standar industri untuk analisis dan produksi data elektronik. Proses

ini telah diuji dikedua aspek hukum dan teknis.

Berikut ini adalah tahap yang relevan dari EDRM ini:

1. Identifikasi

2. Pengoleksian dan Penjagaan

3. Analis

4. Produksi dan presentasi

Bila diterapkan dengan benar, langkah ini dapat memandu seorang penyelidik untuk

penyelidikan yang dapat dipertanggungjawabkan, Untuk memahami proses secara

keseluruhan, penyidik harus memahami setiap langkah yang diperlukan.

Identifikasi

Ini adalah tahapan pertama dari proses forensik yang harus dilakukan ketika diha-

dapkan terhadap suatu kasus dan memerlukan suatu tindakan, berikut lima langkah

inti dalam melakukan penyelidikan:

1. Menentukan ruang lingkup dan kuantitas data. Hal ini mengharuskan penyi-

dik bekerja dengan orang-orang lain yang membutuhkan penyelidikan ini dan

harus menentukan kira-kira berapa banyak data yang diperlukan.

2. Mendefinisikan Tempat Penyimpanan. Setelah penentuan ruang lingkup, pe-

nyidik harus mengidentifikasi lokasi data yang berpotensi memegang bukti, lo-

kasi penyimpanan bisa berupa komputer pribadi, server perusahaan, personal

digital assistant (PDA), atau ponsel. Pada titik ini, penyidik perlu menentukan

apakah telah memiliki alat yang dibutuhkan untuk menyelesaikan penyelidik-

an dengan benar

3. Strategi Penjagaan. Setelah penyidik menentukan di mana data disimpan, pe-

nyidik harus memutuskan langkah-langkah apa yang diperlukan untuk melin-

dungi data dari semua bahaya. Jika nantinya dapat ditunjukan bahwa barang

bukti telah dimodifikasi dengan tidak sesuai dengan proses yang berlaku. Pe-

nyelidik akan mempunyai masalah dalam pembuktian kebenaran dari bukti

yang ada. Penjagaan harus dilakukan secepat mungkin


Komputer Forensik

4. Menstabilkan Rantai Pengawasan. Setelah melindungi bukti, sesuai dengan

peraturan hukum rantai pengawasan harus dibentuk. Tidak membangun ran-

tai pengawasan mengakibatkan sulitnya melacak temuan kembali ke data as-

li. Penyidik harus mampu menunjukan bahwa barang bukti tidak dimodifikasi

dan semua yang dilakukan terhadap barang bukti harus tercatat dalam sebuah

log.

5. Preview Data. Hanya setelah selesainya langkah 1 sampai 4 penyidik harus me-

lihat data dengan cara yang menjamin data tersebut tidak berubah. Hal ini me-

mungkinkan penyidik masuk ke dalam fase akuisisi proses, saat penyidik akan

melakukan

Pengoleksian dan Penjagaan

Inilah titik di mana penyidik benar-benar akan mengumpulkan data secara forensik

untuk melakukan penyelidikan. Terdapat empat langkah utama dalam proses ini.

1. Mengidentifikasi Media Sumber. Data disimpan dalam media , dan seorang

penyelidik perlu tahu jenis data dan bagaimana cara mengaksesnya. Terlihat

mudah, namun masalah akan muncul ketika penyelidikan mendapatkan sebu-

ah hardisk dalam bentuk pita magnetik dan tidak ada satu orang yang mengerti

cara aksesnya. Kreativitas dan kecerdikan adalah hal yang terpenting dalam si-

tuasi ini.

2. Pilih Parameter Akuisisi. Menetapkan parameter yang diperlukan untuk mem-

buat image dengan tepat. Jenis kasus dan persyaratan hukum akan menentuk-

an parameter ini. Pada analogi yang terdahulu, beberapa pekerjaan memerluk-

an palu dan obeng. Tahu apa yang akan dihadapi dan bertindak secara tepat.

3. Membuat image. Setelah penyidik menentukan media dan mengatur parame-

ter adalah membuat image dari media sumber. Proses membuat image harus

dipastikan bahwa tidak terjadi modifikasi sampai gambar selesai. Penyidik ha-

rus memiliki metadata untuk membuktikan bahwa image tidak termodifikasi.

4. Otentikasi. Tujuan dari tahap ini adalah untuk menentukan image yang telah

penyidik buat identik dengan data asli. Cara yang dapat diandalkan adalah de-

ngan memanfaatkan hash kriptografi. Setelah image selesai di image buat ha-

sh kriptografi dari image yang dibuat dan pastikan diketahui oleh kedua belah

pihak, terjadinya perubahan terhadap image dapat mengakibatkan kekalahan

penyidik di pengadilan. Pastikan bahwa algoritma hashing yang digunakan cu-

kup aman. Dua algoritma yang umum digunakan adalah MD5 dan SHA-1.


Komputer Forensik

Analisis

Setelah penyidik menentukan data apa yang dibutuhkan dan telah memiliki image

forensik yang telah terverifikasi, langkah berikutnya adalah melakukan analisis. Ini

adalah jiwa dari penyelidikan, hal utama yang perlu diingat ketika melakukan anali-

sis adalah kelengkapan, pastikan telah melihat di setiap sisi dan pastikan tidak me-

lewatkan sesuatu yang penting. Lengkap, kreatif, dan pemikiran yang tidak konven-

sional akan sangat membantu dalam fase ini.

Produksi dan Presentasi

Setelah penyidik menyelesaikan penyelidikan, penyidik mungkin akan datang de-

ngan bukti dan informasi yang relevan dengan kasus yang sedang berjalan. Orang

lain mungkin akan tertarik dengan penyelidikan ini, terutama orang yang membia-

yai penyelidikan. Yang terpenting dari fase ini adalah tetap sederhana, untuk penye-

lidikan yang sangat teknis, ini bisa menjadi tahap yang paling sulit dari semua proses

yang dilalui, sehingga harus sangat berhati-hati.

1.4. Pasca Investigasi

Setelah penyidik telah merinci temuan dan kasus telah tersimpulkan. Penyidik ha-

rus mengarsipkan data, karena mungkin kemudian hari penyidik akan menemukan

kasus yang berhubungan dengan kasus sebelumnya

• Berapa Banyak?. Berapa kasus mengharuskan penyidik melakukan pengarsip-

an secara lengkap seluruh dataset yang digunakan dalam penyelidikan. Untuk

beberapa kasus, seperti kasus perusahaan skala besar, pengarsipan secara leng-

kap akan memakan biaya yang besar dan cenderung tidak mungkin. Bicarakan

antar pemilik kepentingan untuk menentukan berapa banyak data yang akan

di arsip untuk kebutuhan masa mendatang.

• Berapa Lama?. Berapa lama penyidik perlu menjaga arsip tergantung pada ka-

sus yang dihadapi. Para pengacara atau eksekutif yang terlibat pada kasus akan

memiliki pengetahuan tentang proses menyelesaikan kasus untuk hal-hal se-

perti banding. Diskusikan hal ini dengan para pembuat rencana penyelidikan.

Penghancuran bukti terlalu cepat dapat menyebabkan bencana.

• Bagaimana Kelanjutannya?. Mencoba untuk mulai berfikir tentang bagaima-

na kelanjutan dari kasus yang dihadapai, seperti terjadinya banding. Kelanju-

atan akan mengakibatkan barang bukti dipakai lagi ataupun bertambah, jadi

menyimpan barang bukti menjadi pilihan yang tepat.

Setelah menjawab semua pertanyaan-pertanyaan di atas, penyidik sudah siap untuk

merancang suatu solusi arsip untuk sebuah kasus.Tujuan utamanya adalah untuk


Komputer Forensik

membuat sebuah kapsul waktu, sebuah bundel yang berisi data arsip, dokumentasi

yang tepat seperti ceklist proses, rantai pengawasan serta hasil dan temuan. Tem-

patkan semua ini di dalam ruang bukti yang telah disiapkan.


Komputer Forensik


Modul 2Mengkoleksi Barang Bukti Sebuah

Sistem Tunggal

Sebuah sistem tunggal di sini adalah komputer yang berbasis x86 , seperti kompu-

ter desktop, notebook, dan server kelas menengah ke bawah, pada konteks ini belum

akan dijelaskan tentang RAID yang banyak terdapat pada server kelas menengah ke

atas. Sebuah sistem tunggal dapat mencakup IDE (Intergrated Device Electronic),

SATA (Serial AT Attachment), atau SCSI (Small Computer System Interface) dan be-

berapa peripheral yang melekat padanya. Dalam bagian ini akan difokuskan pada

pengumpulan bukti dari hardisk IDE, SATA, atau SCSI.

Biasanya selama penyelidikan, penyidik harus mematikan mesin untuk masuk ke da-

lam sebuah lingkungan sistem operasi yang aman dan membuat sebuah image ha-

rdisk menggunakan lingkungan tersebut, namun terkadang sistem harus tetap ber-

jalan dan penyidik dapat mengambil informasi dari aktifitas yang terjadi pada me-

mori utama (RAM). Komputer forensik pada RAM tidak akan dijelaskan pada bagian

ini.

Setelah dijelaskan pada bab sebelumnya, penyidik harus memiliki pemahaman yang

baik tentang standar dasar dan isu-isu yang ada pada dunia komputer forensik. Gu-

nakan pengetahuan tersebut untuk melanjutkan pada proses pengumpulan bukti

dari sebuah sistem tunggal.

Mulai subbab ini dan subbab selanjutnya akan digunakan dua istilah “sistem tersang-

ka” dan “sistem forensik” untuk membedakan antara sistem di mana penyidik meng-

umpulkan data dan sistem di mana penyidik akan melakukan analisis forensik.

Langkah 1 : Mematikan Sistem Tersangka

Mematikan sistem tersangka memungkinkan penyidik untuk menyatakan pada ca-

tatan dan dokumentasinya bahwa telah ditetapkan waktu dan tanggal di mana tidak

ada modifikasi lagi terhadap sistem tersangka. Penting bahwa bisa memastikan bah-

wa sistem tidak termodifikasi, karena jika tidak maka barang bukti tidak akan berlaku

23

Mengkoleksi Barang Bukti Sebuah Sistem Tunggal

lagi di pengadilan. Pastikan komputer telah benar-benar mati sebelum melanjutkan

kelangkah berikutnya.

Langkah 2 : Melepaskan Disk dari Sistem yang Dicurigai

Lihat ke dalam sistem untuk menentukan apakah drive ada dan lepaskan dari sis-

tem, bahkan jika tidak terhubung dengan kabel. Buat sebuah rantai penjagaan dan

isi kolom pada Tabel 2.1. Pada tingkatan yang lebih mahir disk tidak perlu dilepas da-

ri sistem, penyidik cukup melakukan boot kedalam sistem operasi yang aman (Live

USB atau LiveCD) kemudian langsung membuat image dari barang bukti yang ada.

Field DeskripsiManufaktur Nama pabrikan dari barang buktiModel Model dari barang buktiSerial number Serial number dari barang buktiDeskripsi Barang Bukti Nama lengkap dari tersangka dan teknologi yang digunakan

seperti PATA,SATA (IDE), atau SCSI

Tabel 2.1: kolom informasi drive pada rantai penjagaan

Langkah 3 : Periksa Media Lain

Sampai pada titik ini, drive telah dilepas dan sistem telah dimatikan, langkah beri-

kutnya adalah melihat ke dalam USB storage, SSD card, disket, dll, media ini harus

dianggap sebagai bukti dan ditangani sama seperti drive utama. Lepas semua dri-

ve yang ditemukan di sistem (setidaknya yang masih terpasang pada saat komputer

dimatikan) dan isi rantai penjagaan seperti pada drive utama untuk masing-masing

drive lainnya ini.

Jika penyidik diberi wewenang untuk mencari pada area kerja tersangka, penyidik

harus memeriksa semua laci, folder, lemari dan tas untuk mencari drive yang terkait

terhadap sistem tersangka.

Langkah 4 : Catat Informasi Bios

Sampai pada titik ini, semua drive telah dihapus dari sistem. Sekarang penyidik su-

dah aman melakukan boot sistem dan masuk ke dalam BIOS untuk memeriksa in-

formasinya.

Dalam rantai penjagaan, masukan informasi mengenai BIOS sistem, biasanya dapat

diakses dengan menelan esc, f2, f9, f10, atau f11 pada saat boot awal sistem. Setelah

informasi BIOS dapat diakses, catat waktu dan tanggal sistem pada rantai pengawas-

an, waktu bios menjadi penting karena waktu dan tanggal pada sistem bisa berbeda

dari zona waktu yang ditetapkan secara geografis di mana sistem berada. Namun jika



sistem telah menggunakan NTP (Network Time Protocol) dapat menggunakan waktu

yang ada pada sistem operasi.

Langkah 5 : Membuat Disk Image Barang Bukti

Pada titik ini, langkah ini akan menjadi umum untuk sistem apapun. Di tahap ini

akan masuk ke dalam alat dan teknologi yang dapat digunakan dalam proses penci-

traan.

Barang Bukti Asli

Diperingatkan bahwa langkah selanjutnya akan menuju ke bagian paling berisiko

dari penyelidikan, yaitu akses langsung ke bukti asli. Setiap kali akses ke drive asli

harus dilakukan pencegahan untuk menghindari sistem menulis ke dalam drive as-

li. Semudah apa untuk menulis pada drive secara sengaja maupun tidak sengaja?,

pertimbangkan kemungkinan berikut ini:

• Menjalankan sistem tersangka pada windows dan drive masih ada di dalamnya.

• Menggunakan DOS Disk boot

• Memasang drive di GNU/Linux menggunakan option read/write ( Default Op-

tion )

• Menjalankan sistem forensik pada windows dan drive asli terpasang

• Mengaitkan USB disk ke dalam sistem di mana barang bukti asli sedang berjal-

an

• Salah memilih drive dan tanpa sengaja mengisi atau memodifikasi berkas

Jika salah satu dari skenario ini terjadi, penyelidikan akan mengalami masalah serius,

penyidik telah memodifikasi bukti asli dan mengubah sejumlah besar sistem saat

sedang dibutuhkan untuk tahap analisis, hal ini dapat mengakibatkan bukti tidak

dapat diverifikasi di pengadilan dan tersangka bisa dinyatakan tidak bersalah.

Membuat image sebuah hardisk tidak secepat yang dibayangkan, karena pada ka-

sus forensik hardisk harus di salin secara byte per byte sehingga akan membutuhkan

waktu yang cukup lama untuk membuat image, pastikan sistem forensik yang di-

bangun menggunakan hardware yang mumpuni dan memiliki pasokan listrik yang

bagus.

Alat yang Bisa Digunakan

Membuat sebuah image dari sebuah barang bukti (drive/hardisk) dapat mengguna-

kan perangkat lunak forensik yang ada, beberapa perangkat lunak forensik dijual de-



ngan harga yang cukup tinggi, salah satunya adalah enCase. Selain enCase juga ter-

dapat banyak perangkat lunak yang berlisensi open source dan tersedia secara gratis,

di pembahasan buku ini semua langkah-langkah berikutnya akan menggunakan pe-

rangkat lunak forensik open source dan perintah standar yang ada pada sistem ope-

rasi GNU/Linux yang juga open source.

Alat yang digunakan untuk melakukan pencitraan akan terikat erat dengan format

output dari image barang bukti, beberapa format standar yang digunakan pada kom-

puter forensik adalah sebagai berikut:

• Format Bebas

– AFF4

– gfzip

– RAW Image format

• Format yang terikat dengan perangkat lunak

– Encase Image Format

– IDIF,IRBF,IEIF

Pada pembahasan selanjutnya pada buku ini, format image yang akan digunakan

adalah Encase Image Format(EWF) dan RAW Image Format (dd), dua format ini dipi-

lih karena dua format ini yang paling sering digunakan pada penyelidikan komputer

forensik dan sudah seperti menjadi standar tersendiri.

Membuat Image Barang Bukti

Pastikan pada sistem forensik telah terpasang sistem operasi GNU/Linux dan sudah

terpasang software:

• libewf

• libewf-tools

jangan lupa pastikan fasilitas automount telah di nonaktifkan, untuk fase instalasi

dan konfigurasinya dapat dilihat pada lampiran buku ini, untuk membuat hardisk

menggunakan libewf cukup menggunakan perintah:

ewfacure / dev / sdx



Gambar 2.1: Proses pembuatan image ewfacure

akan muncul gambar seperti pada pada Gambar 2.1 dana akan muncul beberapa

pertanyaan yang harus dijawab untuk melakukan pencitraan, selain menggunakan

libewf membuat image juga bisa menggunakan perintah standar dari GNU/Linux:

dd i f =/dev / sdx of = m y b i g f i l e . img bs=65536 conv=noerror , sync

dd memiliki kelemahan dengan tidak adanya progress bar yang memberikan infor-

masi status dari pencitraan yang sedang dilakukan, untuk membatu dd dapat di in-

stalasi perangkat lunak pv dan dialog, jika sudah terinstal jalankan perintah berikut:

( pv −n / dev / sdx | dd of = m y b i g f i l e . img bs=4K conv=notrunc , noerror ) \

2>&1 | d i a l o g −−gauge "Running dd \

command ( cloning ) , please wait . . . " 10 70 0

akan muncul dialog seperti pada Gambar 2.2b



(a) dd tanpa progess bar

(b) dd dengan progess bar

Gambar 2.2: Proses dd

Semua ini akan memakan waktu yang cukup lama tergantung dari besaran kapasitas

barang bukti yang akan dibuat image.

Membuat Otentikasi

Setelah membuat image dari barang bukti, langkah berikutnya adalah membuat oten-

tikasi dari image yang telah dibuat, untuk membuatnya dapat menggunakan perin-

tah standar pada GNU/Linux, seperti berikut ini :

md5sum m y b i g f i l e . img > m y b i g f i l e .md5

Perintah ini akan menghasilkanberkas mybigfile.md5 yang berisi metadata otenti-

kasi dari image barang bukti, setelah memilik file ini hal berikutnya yang perlu dila-

kukan adalah membuat dokumen serah terima barang bukti dengan diketahui oleh

penyidik dan pemberi wewenang penyelidikan, untuk contoh dokumenya bisa dili-

hat pada lampiran buku ini.

Setelah semua proses pengkoleksian selesai catat semua koleksi barang bukti di ran-

tai penjagaan, waktu dan tanggal data dicitrakan.


Bagian II

Standar Operasional Prosedur

Pengambilan Barang Bukti

29

Modul 3Pengamanan TKP

3.1. Peralatan yang dibutuhkan

Perangkat digital forensik di lapangan terdiri dari:

1. Kamera digital

2. Media removable

Untuk mempercepat proses pastikan sudah diwipe terlebih dahulu sebelum

dibawa ke TKP, langkah wipe media penyimpanan dapat dilihat pada subbab

4.2.1

3. Komputer forensik

4. Hardware write-blocking

5. Boot disk

6. Tool kit(tang, obeng, dll)

7. Penggaris

8. Kantong barang bukti

9. Dokumen Chain of Custody

3.2. Prosedur pengamanan barang bukti di TKP

3.2.1 Umum

1. Amankan dan ambil kontrol area yang di dalamnya terdapat barang bukti po-

tensial.

2. Jauhkan orang-orang dari semua komputer tersebut dan sumber daya.

31

Pengamanan TKP

3. Ambil gambar atau video dari TKP dan semua komponen. Jika diperlukan,

gambar sketsa sistem dan beri label semua port dan kabel sehingga sistem da-

pat direkonstruksi di kemudian hari, jangan lupa cetak foto dan lampirkan pada

dokumen TKP02-01.

4. Biarkan printer menyelesaikan proses pencetakan, jika ada.

5. Lakukan wawancara dengan pengguna mengenai pengaturan dari sistem, ter-

masuk password. Rekam dan catat dengan akurat semua informasi dengan

mengisi dokumen TKP02-02.

6. dokumentasikan seluruh kegitan terhadap TKP dan barang bukti dengan meng-

isi dokumen TKP02-03 secara lengkap.

3.2.2 Komputer

1. Kenali dan identifikasi jika terdapat jaringan wireless atau perangkat jaringan di

TKP.

(a) Wireless LAN PCI (b) Wireless LAN USBDongle

(c) Wireless LAN PCI

Gambar 3.1: Perangkat-perangkat jaringan

2. Jika barang bukti komputer atau perangkat terhubung ke jaringan:

(a) Diperlukan pendampingan dari sistem administrator untuk memutuskan

komputer atau perangkat dari jaringan, dengan asumsi administrator buk-

an tersangka dalam kasus tersebut. Catatan: Jika sistem administrator ada-

lah tersangka, diperlukan bantuan dari personel yang memiliki pemaham-

an dalam operasi jaringan tersebut.


Pengamanan TKP

(b) Segera putuskan dan pisahkan barang bukti komputer atau perangkat dari

jaringan.

3.2.2.1 Mati

1. Jangan pernah menyalakan komputer.

2. Pastikan komputer barang bukti dalam keadaan mati dengan menggerakkan

tetikus-nya atau melihat lampu indikator power yang berkedip-kedip.

3. Hati-hati, beberapa komputer laptop dapat menyala dengan membuka penu-

tupnya.

4. Lepaskan kabel sumber listrik.

5. Cari di TKP, catatan harian, buku agenda atau potongan kertas yang berisi pass-

word yang biasanya menempel dan terletak dekat dengan komputer

6. Dokumentasikan temuan catatan harian, buku agenda atau dokumen peleng-

kap yang berhubungan dengan barang bukti secara langsung menggunakan ka-

mera disertai dengan penggaris sebagai skala

Gambar 3.2: Foto Catatan Kecil

Jangan lupa cetak dan sertakan pada dokumen TKP03-01-06

7. Lakukan pelabelan barang bukti. Beri label semua port dan kabel sehingga

komputer dapat direkonstruksi di kemudian hari.

8. Pastikan semua perangkat telah ditandai dan label penunjuk telah lengkap ter-

tempel semuanya. Ketidaklengkapan dapat menimbulkan kesulitan pada pro-

ses selanjutnya dan memungkinkan perangkat ditolak oleh penguji forensik.


Pengamanan TKP

9. Dokumentasikan barang bukti beserta label dengan fotografi untuk menggam-

barkan posisi barang bukti di TKP, Jangan lupa cetak dan sertakan pada doku-

men TKP03-01.

10. Dokumentasikan kondisi fisik dari semua komputer dan/atau perangkat pada

dokumen TKP03-01, yang meliputi:

(a) Manufaktur pembuat

(b) Model

(c) Serial Number

(d) Jenis komputer (desktop, laptop, server, dll)

(e) Kondisi komputer (baik atau rusak)

(f) Jumlah hardisk yang terpasang

(g) Perangkat yang terhubung

11. Pastikan Apakah ada izin untuk menyita barang bukti atau tidak, jika iya lakuk-

an fase koleksi pada subbab 4.1, jika tidak lakukan fase akuisisi pada subbab

4.2.

3.2.2.2 Hidup

1. Jika komputer barang bukti ditemukan dalam keadaan standby atau hiberna-

tion, maka posisi komputer harus dikembalikan ke posisi root atau desktop se-

hingga ekstraksi data investigatif awal dapat dilakukan. Jika komputer tersebut

diproteksi dengan user password, maka penyidik dapat meminta password ter-

sebut melalui kewenangan penyidik kepada pemilik barang bukti.

2. Dokumentasikan apa yang sedang berjalan di layar, termasuk tanggal/waktu

lokal komputer yang dibandingkan dengan tanggal/waktu yang sebenarnya,

baik melalui fotografi maupun pencatatan ke dokumen TKP04-01.

3. Dokumentasikan aktivitas dari semua komputer dan/atau perangkat pada do-

kumen TKP04-01, seperti:

(a) Informasi umum sistem, seperti sistem operasi, serial number, hardisk,

RAM, dan lain-lain.

(b) Sejarah pengaksesan file-file (recent atau opened files). Sejarah penggu-

naan internet browser.

(c) Semua koneksi ke komputer, baik melalui USB port maupun jaringan. Ter-

masuk ARP cache.

(d) Daftar port-port berikut program yang menggunakannya.


Pengamanan TKP

(e) Daftar proses-proses yang sedang berjalan.

(f) Daftar layanan.

(g) Daftar driver dan software yang ter-install.

(h) Logged dan registered user.

(i) Informasi registry.

(j) Password, nomor akun atau informasi lain yang berhubungan.

4. Lakukan fase akuisi live data, seperti pada subbab 4.2

5. Matikan barang bukti, sesuai dengan prosedur mematikan komputer.

6. Jika barang bukti komputer atau perangkat terhubung ke jaringan:

(a) Diperlukan pendampingan dari sistem administrator untuk memutuskan

komputer atau perangkat dari jaringan, dengan asumsi administrator buk-

an tersangka dalam kasus tersebut. Catatan: Jika sistem administrator ada-

lah tersangka, diperlukan bantuan dari personel yang memiliki pemaham-

an dalam operasi jaringan tersebut.

(b) Putuskan dan pisahkan barang bukti komputer atau perangkat dari jaring-

an.

7. Cari di TKP, catatan harian, buku agenda atau potongan kertas yang berisi pass-

word yang biasanya menempel dan terletak dekat dengan komputer

8. Dokumentasikan temuan catatan harian, buku agenda atau dokumen peleng-

kap yang berhubungan dengan barang bukti secara langsung menggunakan ka-

mera disertai dengan penggaris sebagai skala

Gambar 3.3: Foto Catatan Kecil

Jangan lupa cetak dan sertakan pada dokumen TKP03-01-06


Pengamanan TKP

9. Lakukan pelabelan barang bukti. Beri label semua port dan kabel sehingga

komputer dapat direkonstruksi di kemudian hari.

10. Pastikan semua perangkat telah ditandai dan label penunjuk telah lengkap ter-

tempel semuanya. Ketidaklengkapan dapat menimbulkan kesulitan pada pro-

ses selanjutnya dan memungkinkan perangkat ditolak oleh penguji forensik.

11. Dokumentasikan barang bukti beserta label dengan fotografi untuk menggam-

barkan posisi barang bukti di TKP, Jangan lupa cetak dan sertakan pada doku-

men TKP03-01.

12. Dokumentasikan kondisi fisik dari semua komputer dan/atau perangkat pada

dokumen TKP03-01, yang meliputi:

(a) Manufaktur pembuat

(b) Model

(c) Serial Number

(d) Jenis komputer (desktop, laptop, server, dll)

(e) Kondisi komputer (baik atau rusak)

(f) Jumlah hardisk yang terpasang

(g) Perangkat yang terhubung


Modul 4Koleksi dan Akuisisi Barang Bukti

Koleksi adalah proses pengambilan barang bukti fisik dari TKP ke Laboratorium, ba-

rang bukti bisa berupa kertas berisi password, konektor sumberdaya, dan hardisk.

Melepas digital storage dan membawanya ke laboratorium tidak dianjurkan, jika di-

lakukan dan pastikan DEFR memiliki izin dan kompetensi untuk melakukannya, do-

kumentasikan semua kegiatan mengkoleksi kedalam dokumen chain of custody.

Akuisis adalah proses pengambilan salinan barang bukti fisik dari TKP ke media pe-

nyimpanan barang bukti, kedua barang barang bukti(asli dan salinan) wajib di verifi-

kasi dengan fungsi verifikasi yang terbukti, jika verifikasi tidak dimungkinkan, DEFR

harus menuliskannya dalam dokumentasi dan memberikan alasannya. Penyalinan

barang bukti meliputi:

• Menyalin semua berkas di semua drive yang ada

• Menyalin partisi tertentu dalam hardisk

4.1. Koleksi

1. Lakukan langkah-langkah pada Bab 3 sesuaikan dengan keadaan komputer, da-

lam kondisi mati atau hidup

2. Pastikan komputer dalam posisi mati

3. Lepaskan barang bukti dari tempatnya, foto dengan memberikan skala meng-

gunakan penggaris sebagai skala gambar

37

Koleksi dan Akuisisi Barang Bukti

Gambar 4.1: Foto Barang Bukti

Dokumentasikan detail dari hardisk pada dokumen TKP03-01-02

4. Masukan ke dalam plastik atau kertas penyimpanan barang bukti yang telah

dibawa

Gambar 4.2: Pembungkusan Barang Bukti

5. Isi dokumen TKP03-01-02 yang disediakan, pastikan semua terisi dengan leng-

kap tentang detail hardisk yang akan dibawa ke laboratorium.

6. Nyalakan Komputer dan masuk ke dalam mode bios dokumentasikan infomasi

bios pada bagian informasi bios di dokumen TKP03-01

7. Kirimkan barang bukti dan semua dokumen yang telah di cetak dan diverifikasi



oleh DEFR dan pemilik kuasa barang bukti ke laboratorium, pastikan pengirim-

an disertakan dokumen TKP01-01 yang sudah terisi dengan lengkap.

4.2. Akuisisi

1. Jika Komputer dalam keadaan mati, langsung lakukan tahap ke 5

2. Ambil salinan dari RAM yang sedang berjalan, dapat dilihat pada subbab 4.2.2

3. Salin semua data yang ada di sistem operasi, dapat dilihat pada subbab 4.2.3

4. Lanjutkan SOP pada komputer yang sedang hidup

5. Lepas barang bukti dari motherboard-nya jika belum di lepas

6. Lakukan akuisisi terhadap barang bukti, dapat dilihat pada subbab 4.2.4

7. Kembalikan barang bukti ke tempat semula dan pastikan sistem berjalan seper-

ti sebelumnya

8. Segel media penyimpanan barang bukti dan kirimkan ke lab beserta dengan

dokumen yang telah diverifikasi oleh DEFR dan pemilik kuasa barang bukti ke

laboratorium, pastikan pengiriman disertakan dokumen TKP01-01 yang sudah

terisi dengan lengkap

4.2.1 Persiapan Media Penyimpanan Barang Bukti

1. Jalankan komputer forensik, pastikan telah hidup dan masuk ke tampilan

2. Hubungkan hardisk penyimpanan ke komputer forensik, pastikan posisi ha-

rdisk dengan perintah fdisk-lua

Gambar 4.3: output perintah fdisk -lua



Dari gambar ini dapat dipastikan hardis tersebut ada di /dev/sdb, pastikan ha-

rdisk ini kosong

3. Ketikan perintah dcfldd if=/dev/zero of=/dev/sdb bs=8k conv=noerror,sync

untuk melakukan wipe hardisk, tunggu sampai selesai.

4. Setelah selesai, buat satu partisi dengan perintah fdisk /dev/sdb atau gunak-

an tools gparted dan format partisi dengan filesystem ext3

5. Jika menggunakan fdisk pastikan format dulu partisi menggunakan perintah

mkfs -t ext3 /dev/sdb1

6. Buat direktori untuk mounting hardisk, dengan perintah mkdir /mnt/hdd/

7. Mounting hardisk ke direktori yang telah dibuat, mount /dev/sdb1/ /mnt/hdd/

8. Buat direktori dan berkas penting dalam akuisisi barang bukti:

(a) mkdir /mnt/hdd/kasus001/

(b) mkdir /mnt/hdd/kasus001/barangbukti001

(c) touch /mnt/hdd/kasus001/kasus001_desk.txt

(d) touch /mnt/hdd/kasus001/barangbukti001/barangbukti001_desk.txt

(e) touch /mnt/hdd/kasus001/barangbukti001/barangbukti001_hdparm.txt

(f) touch /mnt/hdd/kasus001/barangbukti001/barangbukti001_mmls.txt

9. Pastikan semua file tersebut telah ada

10. lepaskan hardisk dari sistem menggunakan perintah umount /dev/sdb1

11. Cabut hardisk dari komputer forensik dan siap digunakan

4.2.2 Mengambil Salinan Barang Bukti Digital berupa RAM

4.2.2.1 Windows

Membuat dump file dari memori hanya dapat dilakukan jika perangkat masih dalam

kondisi hidup. Aplikasi yang digunakan untuk membuat dump file dari memori salah

satunya adalah win32dd.exe untuk sistem operasi windows xp 32 bit.

1. Masukan media yang telah berisi perangkat lunak win32dd.exe ke komputer

yang akan diambil image RAMnya

2. Masuk ke Command Prompt jalankan perintah berikut ini:

win32dd . exe /d / f pebi .dmp



Gambar 4.4: dump file

Pada Gambar 4.4 merupakan proses pembuatan dump file memory pada de-

ngan menggunakan aplikasi win32dd.exe.

4.2.2.2 Sistem operasi keturunan Unix

Pengambilan image RAM dari keturunan Unix lebih sulit ketimbang windows, karena

UNIX hanya mengizinkan kernel yang mengakses RAM, dan setiap kernel memiliki

cara tersendiri dalam pengalamatan.

1. Siapkan komputer dengan versi kernel yang sama dengan komputer barang

bukti, untuk mengathui versi kernel dapat menggunakan perintah:

uname −a

2. Unduh file lime-forensics-1.1-r17.tar.gz dan ekstrak:

t a r x z v f lime−f o r e n s i c s −1.1−r17 . t a r . gz

3. Masuk ke direktori src dan jalankan program make

cd s r c

make

Hasil dari perintah ini akan menghasilkan file dengan ekstensi .ko, masukan file

tersebut dalam suatu USB drive yang besarnya melebihi besar dari RAM yang

akan diakuisisi

4. Mounting USB drive yang berisi file .ko tersebut ke komputer barang bukti, ji-

ka mounting dilakukan dengan manual maka mounting terlebih dahulu USB

drive-nya.

5. Masuk ke direktori berisi file .ko tadi jalankan perintah:

insmod f i l e . ko " path=evidence002 .dmp format=lime "

Tunggu sampai proses selesai

6. Salin file /boot/System.map-kernel ke USB drive yang disediakan



4.2.3 Mengambil Salinan Barang Bukti Digital berupa salinan File

4.2.3.1 Windows

Pada sistem operasi windows untuk menyalin semua file dapat dilakukan secara ma-

nual, dengan menyalin semua drive yang ada pada windows baik itu c,d,e,dan sete-

rusnya.

1. Masukan hardisk penyimpanan baran bukti

2. Masuk ke direktori kasus001/

3. Buat folder dengan nama “barangbukti002” dan buat folder sesuai dengan jum-

lah dan nama drive yang ada

4. Salin masing-masing drive ke folder yang telah dibuat

4.2.3.2 Sistem operasi keturunan UNIX

1. Masukan hardisk penyimpanan baran bukti

2. Masuk ke mode terminal

3. Masuk ke direktori /

cd /

4. Buat folder barangbukti003

mkdir /mnt/hdd/ kasus001 / barangbukti003 /

5. Salin semua direktori root kedalam folder Live Copy File

cp −rv / /mnt/hdd/ kasus001 / brangbukti001 / barangbukti003 /

4.2.4 Mengambil Salinan Barang Bukti Digital berupa Hardisk

1. Lepaskan hardisk dari komputer, jika belum

2. Koneksikan hardisk dengan hardware write blocker



Gambar 4.5: Hardisk dan Hardware Write Blocker

3. Boot komputer forensik

4. Masukan kabel sumber daya ke hardware write blocker, dan pindahkan switch

pada posisi on

5. Kaitkan media penyimpanan barang bukti yang telah disiapkan sebelumnya

6. Kaitkan hardware wirte blocker ke komputer forensik

7. Pastikan posisi hardisk di sistem dengan perintah mmls /dev/sdc

Gambar 4.6: Output Susunan Hardisk

8. Mounting media penyimpanan barang bukti mount /dev/sdb1 /mnt/hdd, ma-

suk kedalam folder penyimpanan barang bukti

cd /mnt/hdd/kasus001/barangbukti001/

9. Ambil parameter hardisk dan tulis ke file /mnt/hdd/kasus001/barangbukti001/

barangbukti001_hdparm.txt

hdparm -giI /dev/sdc > /mnt/hdd/kasus001/barangbukti001/

barangbukti001_hdparm.txt



10. Ambil susunan hardisk dan tulis ke file /mnt/hdd/kasus001/barangbukti001/

barangbukti001_mmls.txt

mmls /dev/sdc > /mnt/hdd/kasus001/barangbukti001/barangbukti001_mmls.txt

11. Masuk ke direktori /mnt/hdd/kasus001/barangbukti001/ dengan perintah:

cd /mnt/hdd/ kasus001 / barangbukti001 /

12. Ketikan perintah ewfacquire /dev/sdc, isi beberapa pertanyaan sesuai dengan

kebutuhan. Proses ini bisa memakan waktu berjam-jam tergantung dari ha-

rdisk yang digunakan

13. Setelah proses ewfacquire lakukan hash terhadap file yang dihasilakan, dengan

menggunakan perintah:

sha512sum namafile . E∗ > barangbukti001 . sha512sum

Pastikan nilai ini disepakati oleh bersama antara DEFR dengan pemilik barang

bukti


Bagian III

Pengantar Analisis Hardisk (Non

Volatile)

45

Modul 5Persiapan Analisis

Setelah melakukan pengkoleksian barang bukti, telah memiliki image dan mendo-

kumentasikannya secara lengkap langkah berikutnya adalah melakukan analisis ter-

hadap image yang didapat. Sebelum melakukan analisis ada beberapa yang harus

disiapkan sehingga saat masuk dalam tahap analisis tidak mengalami kesulitan.

Fase analisis sendiri akan dibagi menjadi dua:

• Analisis Fisik

Analisis yang dilakukan langsung ke file system hardisk. Analisis fisik dapat

mengetahui secara detail image barang bukti yang ada seperti :

– melihat struktur partisi

– melihat isi hardisk

– mencari dan merekonstruksi file yang terhapus

• Analisis Logis

Analisis yang dilakukan di level sistem operasi, tidak langsung pada file system.

Analisis Logis dilakukan ketika analisis fisik tidak dimungkinkan lagi, seperti

mengakses file system yang tidak didukung oleh analisis fisik. Analisis logis sen-

diri memiliki beberapa kelemahan salah satunya tidak bisa mengembalikan file

yang telah di hapus.

Langkah 1 : Sipakan Perangkat

Perangkat yang digunakan dalam melakukan analisis adalah:

1. Komputer dengan spesifikasi:

(a) RAM minimal 2GB

(b) Prosesor dual core dan 64bit

47

Persiapan Analisis

2. USB Flasdisk dengan kapasitas minimal 2GB, atau

3. SD Card class 10 dengan kapasistas minimal 2GB

4. Hardisk Barang bukti dan/atau hardisk penyimpanan barang bukti

5. Dokumen chain of custody

Langkah 2 : Installasi Sistem Operasi Forensik

1. Unduh sistem operasi forensik di http://202.125.94.115/ddoeth_forensic/

2. Untuk sistem opreasi windows dapat mengunduh aplikasi SUSE ImageWriter

di url : https://github.com/downloads/openSUSE/kiwi/ImageWriter.exe untuk

pengguna GNU/Linux dapat mengunduh file burntousb.sh di url:

http://202.125.94.115/ddoeth_forensic/

3. Sistem operasi windows

(a) Buka imageWirter yang telah diunduh

i. Jika tidak dapat dibuka, harus instal terlebih dahulu .NET Runtime 2.0

ii. Jika masih mendapatkan erorr mungkin harus melakukan, klik kanan

dan jalanlan run as administrator

(b) Pilih tombol select, kemudian pilih sistem operasi forensik yang sudah di

unduh sebelumnya

(c) Pilih USB drive dan klik tombol Write/Copy

Gambar 5.1: SUSE Studio Image Writer

4. Sistem Operasi GNU/Linux:



https://github.com/downloads/openSUSE/kiwi/ImageWriter.exe


Persiapan Analisis

(a) Buka terminal

(b) Masuk sebagi user administrator

(c) cari USB drive menggunakan perintah fdisk -lua

(d) Masuk ke dalam direktori download sistem operasi, ketikan perintah

./burntousb.sh ddOeth_Forensic.x86_64-0.1.4.raw /dev/sdb

tunggu sampai proses selesai


Persiapan Analisis


Modul 6Analisis Sistem Operasi Windows

Sistem operasi microsoft windows memiliki banyak kasus yang untuk dapat mene-

rapkan forensik di dalamnya, seperti dihapusnya sebuah dokumen, aktivitas peng-

guna, dan artefak sistem. Bab ini berfokus pada langkah-langkah yang bisa dilakuk-

an untuk menemukan bukti-bukti yang bisa digunakan di pengadilan dikemudian

hari.

Semua file system yang digunakan windows sudah didukung oleh sleuthkit, jadi

analisis fisik dapa digunakan pada semua versi sistem operasi windows.

6.1. Mengetahui Stuktur Partisi

Mengetahui struktur partisi dalam penyidikan dibutuhkan untuk melihat berapa ba-

nyak jumlah partisi yang ada dan apa jenis format dari partisinya. Data tersebut su-

dah diambil oleh DEFR.

1. Pastikan masih aktif di direktori /mnt/hdd/kasus001/barangbukti001

2. Ketikan perintah berikut:

cat barangbukti001_mmls . t x t

Gambar 6.1: output mmls

Pada Gambar 6.1 terlihat semua partisi yang ada pada hardisk baik itu telah

terformat maupun masih dalam kondisi belum terformat atau unlocated.

3. Perhatikan pada kolom start, pada kolom tersebut berisikan nomor imgoffset

dari masing-masing partisi

51

Analisis Sistem Operasi Windows

6.2. Mengetahui Konten Partisi

Langkah forensik yang juga penting adalah mengetahui konten dari partisi yang ada.

Melihat isi file sangat penting untuk menentukan:

• Versi Microsoft Windows

• Mengidentifikasi file yang penting dalam penyelidikan

• Mengidentifikasi file penting yang telah terhapus



f l s −o 63 d e l l 3 . E0∗

Gambar 6.2: output fls

Pada Gambar 6.2 terlihat seluruh isi dari partisi yang dipilih dengan

memasukan offsetnya.

3. Selanjutnya ketikan perintah berikut:

f l s −r −o 63 d e l l 3 . E0∗



Gambar 6.3: output fls rekrusif

Pada Gambar 6.3 terlihat daftar file yang didapat secara rekrusif. Berbeda de-

ngan perintah sebelumnya yang hanya akan menampilkan seluruh isi dari par-

tisi pada level teratas, dengan tambahan opsi -r semua isi yang ada pada image

hardisk akan ditampilkan tanpa terkecuali.

4. Perhatikan angka yang di depan tanda * , angka tersebut adalah inode1 dari

setiap file.

6.3. Mengetahui File Terhapus

Analisa file terhapus merupakan suatu hal yang penting karena dengan kemampu-

an ini file bukti yang telah dihapus oleh pelaku dapat diketahui lokasinya dan bila

memungkinkan dapat direkonstruksi kembali.



f l s −o 63 −rd d e l l 3 . E0∗

1inode adalah alamat file atau folder dalam file system



Gambar 6.4: file terhapus

Pada Gambar 6.4 terlihat daftar nama dari file-file yang terhapus dan lokasi asal

file sebelum dihapus.

3. Ada cara lain jika format file yang terhapus telah diketahui sebelumnya yaitu

dengan perintah:

f l s −o 63 −rd d e l l 3 . E0∗ > deleted

Perintah ini akan mengirim output ke dalam sebuah sebuah file dengan nama

deleted. Dimana file deleted ini akan berisikan daftar file yang telah dihapus

sama seperti langkah kedua.

cat deleted | egrep − i ’ ( \ . doc$ | \ . x l s $ | \ . pdf$ ) ’

Gambar 6.5: egrep file terhapus

Pada Gambar 6.5 terlihat daftar file-file dengan format .doc, xls, dan pdf beserta

dengan lokasi file tersebut berada.

4. Perhatikan angka yang di depan tanda * , angka tersebut adalah inode2 dari

setiap file.

6.4. Mencari File

Pada komputer forensik dibutuhkan juga kemampuan untuk mencari sebuah file

yang dicurigai ataupun dianggap penting untuk penyelidikan terhadap suatu kasus,

misalnya:mengetahui jenis sistem operasi,mencari file bukti, mencari file virus, dll.



f l s −o 63 −r d e l l 3 . E0∗ | grep − i " boot . i n i "

2inode adalah alamat file atau folder dalam file system



Perintah ini berfungsi untuk mengetahui versi windows yang berjalan, yaitu de-

ngan mencari file boot.ini. Perintah ini dapat dimodifikasi untuk mencari file

lain yang dibutuhkan. Seperti pada Gambar 6.6

Gambar 6.6: file boot.ini

Perintah ini juga dapat digunakan untuk mencari file-file yang telah terhapusdi hardisk seperti perintah sebelumnya. File yang terhapus ditandai denganflag “deleted” atau “realloc”, untuk mencarinya cukup ganti perintah grep

-i "boot.ini" dengan grep -i deleted ataupun grep -i realloc.

6.5. Merekonstruksi File

Untuk merekonstruksi file yang ada di image hardisk cukup dengan menggunakan

inode yang didapat dari perintah fls.


2. Ketikan perintah sebagai berikut:

i c a t −o 63 d e l l 3 . E0∗ 3664−128−11 > boot . i n i

Perintah ini akan merekonstruksi file boot.ini yang ada di image hardisk ke fol-

der /home/forensic

3. Untuk melihat filenya dapat menggunakan perintah vi ataupun cat

Gambar 6.7: file boot.ini yang telah di rekonstruksi

6.6. Mengetahui History Browser

History browser pada sistem operasi windows tersimpan dengan format yang berbeda-

beda. Hal tersebut juga dapat kita langsung cari tahu dimana lokasi file tersebut ber-

ada. Setelah mengetahui lokasinya barulah kita lakukan rekonstruksi





f l s −r −o 63 d e l l 3 . E0∗ | grep " index . dat "

Gambar 6.8: Lokasi Index.dat

Pada Gambar 6.8 telah diketahui lokasi keberadaan index.dat, maka lakukan

rekonstruksi file index.dat.

i c a t −o 63 d e l l 3 . E0∗ 12927−128−3 > index . dat

Gambar 6.9: Rekonstruksi Index.dat

Pada Gambar 6.9 dilakukan rekonstruksi file index.dat ke dalam direktori bara-

ngbukti001. Setelah berhasil direkonstruksi untuk melihatnya dapat menggu-

nakan perintah.

cat index . dat

Gambar 6.10: File Index.dat

Pada Gambar 6.10 terlihat history dari browser IE yang digunakan yang disertai

dengan url dan waktu akses.



6.7. Mengetahui Jenis File

Mengetahui jenis file digunakan apabila ada file yang berkamuflase menjadi file lain,

misal file a.jpg ternyata aslinya file tersebut adalah a.exe yang merupakan sebuah

virus.



s o r t e r − l −m " c : " −e −o 63 d e l l 3 . E0∗ > j e n i s _ f i l e

v i j e n i s _ f i l e

Gambar 6.11: Jenis File

Pada Gambar 6.11 terlihat daftar semua jenis file yang ada di c: denga keterang-

an lengkap mengenai nama file, format file yang sekarang dan jenis filenya. File

yang berkamuflase biasanya terjadi perbedaan antara format file yang sekarang

dengan jenis filenya.

6.8. Mengetahui Timestamp Konten Partisi

Pada forensik sering muncul pertanyaan :

• Kapan suatu file atau suatu aplikasi dibuat, dimodifikasi, dll?

• Kapan pertama kali komputer pertama kali dijalankan?

• Kapan terakhir kali komputer diambil datanya?



Untuk memecahkan pertanyaan ini langkah awal adalah membuat file list seluruh

hardisk, dan kemudian menganalisis waktunya menggunakan perintah mactime.


2. Jalankan perintah berikut:

f l s −r −o 63 d e l l 3 . E0∗ > F u l l F i l e L i s t

Perintah ini akan menghasilkan file FullFileList yang berisi daftar seluruh fi-

le di dalam image hardisk

mactime −b F u l l F i l e L i s t > F u l l F i l e L i s t . grouped

Perintah ini akan menghasilkan file FullFileList yang berisi timestamp3 dari

setiap file yang ada di image hardisk. File gruoped ini dikelompokan berdasar-

kan waktu. File ini digunakan jika akan mencari berdasarkan waktu

mactime −d −b F u l l F i l e L i s t > F u l l F i l e L i s t . ungrouped

Sama seperti sebelumnya, hanya saja file ini berbentuk csv. File ini bisa digu-

nakan untuk analisis menggunakan spreadsheet dan pencarian menggunakan

namafile.

6.9. Mounting Barang Bukti

Mounting barang bukti dengan menggunakan xmount tetapi hanya dapat baca. Agar

tidak merubah file maupun timestime dari barang bukti.



mkdir / ewf

Perintah ini akan membuat sebuah direktori ewf

xmount −−in ewf −out dd d e l l 3 . E0∗ / ewf

Perintah ini akan merubah file dengan ekstensi encase(E0) menjadi dd dan di-

letakan pada direktori ewf

modprobe loop

Perintah ini akan mengaktifkan module loop

Loosetup −o $ ( ( 6 3∗5 1 2 ) ) / dev / loop0 / ewf / d e l l 3 . dd

3format waktu berdasarkan standar tertentu



Perintah ini akan mengalamatkan partisi dengan imgoffset 63 ke device loop0

dari dell3.dd

mount −o ro , noatime , noexec / dev / loop0 /mnt/

Perintah ini akan memounting dari device loop0 ke dalam direktori mnt dengan

tidah mengubah waktu , tidak dapat mengeksekusi file, dan hanya dapat dibaca

6.10. Mengetahui Versi Windows dari Registry

Versi dari windows dapat diketahui melalui file registry. Sistem operasi windows me-

letakan file pengaturan pada direktori config yang berada di WINDOWS/system32/config/


2. Jalankan perintah:

cd /mnt

Perintah untuk pindah ke direktori /mnt

cd /WINDOWS/ system32 / config /

Perintah untuk pindah ke direktori registry yang ada pada sistem operasi win-

dows

r i p . pl −r software −p winver

Gambar 6.12: Versi Windows

Pada Gambar 6.12 terlihat informasi pelengkap selain dari versi windows seper-

ti kapan sistem operasi windows ini di install.

6.11. Mengetahui User Account

User account dapat dilihat pada registry SAM. Selain nama user SAM juga menyim-

pan beberapa aktifitas dari masing-masing user.





cd /mnt


cd /WINDOWS/ system32 / conf ig /


dows

r i p . pl −r SAM −p samparse

Gambar 6.13: User Account

Pada Gambar 6.13 terlihat jelas informasi dari salah satu user. Adapun bebera-

pa informasi yang dapat diketahui adalah username, fullname, user comment,

account type, account created, last login date, pwd reset date, pwd fail date dan

login count.

6.12. Mengetahui Koneksi

Daftar koneksi yang terjadi juga dapat dilihat sama halnya seperti daftar user dan

versi windows.



cd /mnt


cd /WINDOWS/ system32 / conf ig /


dows

r i p . pl −r system −p nic_mst2



Gambar 6.14: Data Koneksi

Pada Gambar 6.14 terlihat bahwa pernah terjadi koneksi dengan menggunakan

Local Area Connection pada tanggal 7 mei hari jumat pukul 11:59:43 WIB tahun

dan server 192.168.1.2.

6.13. Tugas Mandiri

1. Cek kapan pertama kali file Dc3.doc dibuat dan kapan terkahir file tersebut di-

akses

2. Cari informasi OS, user account selain administrator, data koneksi dengan wifi

3. Kembalikan satu atau dua file yang terhapus


Modul 7Analisis Sistem Operasi Linux

GNU/Linux adalah sistem operasi yang paling banyak digunakan untuk server, oleh

karena itu forensik pada dunia GNU/Linux biasanya erat hubungannya dengan se-

rver, tapi tidak menutup kemungkinan forensik pada dunia GNU/Linux digunakan

pada desktop, karena pengguna GNU/Linux di desktop juga cukup banyak.

Mayoritas hacking ditulis di platform GNU/Linux, yang berarti sebagai penyidik di

GNU/Linux mungkin akan menghabiskan waktu dalam menganalisis serangan ri-

ngan hingga canggih. Beruntung, di GNU/Linux banyak terdapat dokumentasi ten-

tang serangan yang dilakukan, dan bagaimana para hacker membersihkan perbuat-

an mereka. Ketika penyerang telah mendapatkan user administrator sistem GNU/Li-

nux maka penyelidikan akan menjadi hal yang sangat menakutkan bagai penyidik,

karena penyerang dapat saja dengan udah merasuki file yang ada di sistem, lebih pa-

rahnya ketika penyerang sudah bisa meng-compile program yang berjalan di kernel

space. Lebih detailnya akan di jelaskan di subbab pada bab ini.

7.1. Mounting Hardisk Barang Bukti

Langkah pertama dalam melakukan analisis barang bukti berupa hardisk yang te-

lah diakuisisi di TKP adalah mounting hardisk penyimpanan barang bukti ke sistem

operasi forensic yang digunakan.

1. Pastikan sistem operasi forensik telah berjalan pada perangkat analisis

2. Kaitkan hardisk penyimpanan barang bukti ke perangkat analisis

3. Pastikan posisi hardisk pada sistem operasi forensik dengen perintah fdisk -lu

63

Analisis Sistem Operasi Linux

Gambar 7.1: fdisk -lu

Pada Gambar 7.1 dapat disimpulkan bahwa media penyimpanan barang bukti

ada di /dev/sdb1 atau /dev/sdb2.

4. Mounting hardisk penyimpanan ke komputer forensik

mount / dev / sdb1 /mnt/hdd/

5. Jika tidak ada pesan error berarti media penyimpanan barang bukti telah dika-

itkan ke komputer forensik

7.2. Mengetahui Susunan Partisi

Mengetahui susunan partisi dari barang bukti digunakan untuk menampilkan offset

dan ukuran blok dari suatu hardisk, informasi ini akan digunakan untuk langkah-

langkah forensik. Susunan partisi sendiri sudah diambil oleh DEFR saat mengambil

barang bukti dan disimpan pada file /mnt/hdd/kasus001/barangbukti001/barangbukti001_mmls.txt.

1. Masuk ke direktori /mnt/hdd/kasus001/barangbukti001/ dengan perintah cd

/mnt/hdd/kasus001/barangbukti001

2. Lihat isi file barangbukti001_mmls.txtdengen perintah cat barangbukti001_mmls.txt

Gambar 7.2: Susunan Partisi



Seperti pada Gambar 7.2 terlihat bahwa barang bukti ini memiliki beberapa

partisi hardisk, yang perlu diperhatikan disini adalah bagian start nilai ini me-

rupan nilai dari ofset barang bukti.

7.3. Mengetahui Isi Partisi

Langkah forensik yang juga penting adalah mengetahui isi dari partisi yang ada. Me-

lihat isi file sangat penting untuk menentukan:

• Versi GNU/Linux

• Mengidentifikasi file yang penting dalam penyelidikan

• Mengindetifikasi file penting yang telah terhapus

1. Pastikan masih di direktori /mnt/hdd/kasus001/barangbukti001/


f l s −o 2048 20130909. E01

Gambar 7.3: Konten Partisi Ofset 2048

Perintah ini akan menampilkan konten dari partisi yang memiliki offset sektor

2048, dari output yang tertera dapat disimpulkan partisi yang sedang dilihat

adalah partisi boot pada GNU/Linux. Tampilan ini tidak menampilkan seluruh

file yang ada pada hardisk, namun hanya pada level teratas dari susunan folder.

3. Jalan Perintah berikut:

f l s −r −o 2048 20130909. E01



Gambar 7.4: Konten Partisi Rekrusif

Jika pada perintah sebelumnya fls tidak menampilkan keseluruhan file, setelah

di tambahkan opsi -r yang berarti rekrusif semua file yang ada di tampilkan

tanpa terkecuali.

4. Coba langkah ini pada partisi lainnya

7.4. Mencari File

Pada percobaanya terlihat sangat mudah untuk melihat file yang ada di image, na-

mun masalah besar akan timbul jika yang dilhat adalah partisi /root yang mungkin

bisa berisi ratusan file. Cara paling ampuh untuk memecahkan masalah ini adalah

dengan melakukan pencarian, penyidik cukup hanya mengetahui nama file yang ak-

an dicari untuk mengetahui apakah file tersebut ada atau tidak.


2. Jalankan perintah berikut ini:

f l s −r −o 2048 20130909. E01 | grep − i " grub . c f g "

Gambar 7.5: Hasil Pencarian



Pada Gambar 7.5 dapat dilihat alamat inode dari file grub.cfg dengan mengeta-

hui inode, file tersebut dapat di rekonstruksi.

3. Coba lakukan pencarian pada partisi lain


Salah langkah dalam komputer forensik adalah merekonstruksi file, merekonstruksi

file digunakan untuk melihat file yang masih ada ataupun yang sudah terhapus di

hardisk.



i c a t −o 2048 20130909. E01 44383 > /home/ f o r e n s i c / grub . c f g

Perintah ini akan membuat sebuah file baru bernama grub.cfg yang berisi kon-

ten dari file yang ada pada image hardisk dengan alamat inode 44383, untuk

melihat isi filenya dapat menggunakan perintah vi, atau cat

Gambar 7.6: Isi file grub.cfg

3. Coba rekonstruksi file yang sudah dicari pada langkah sebelumnya

7.6. Melihat File yang Terhapus

Pada beberapa kasus ada beberapa file-file penting yang dihapus oleh tersangka, se-

telah kita mendapatkan inonde dari file yang terhapus, dapat dilakukan tahap rekon-

struksi file barang bukti.



1. Ketikan perintah

f l s −o 2048 20130909. E01 > deleted

Perintah ini akan menghasilkan sebuah file, yaitu file deleted yang berisi list

dari semua file yang pernah terhapus pada hardisk

Gambar 7.7: Isi file deleted

2. Untuk merekostruksinya dapat mengikuti penjelasan pada subbab 7.5

7.7. Mengetahui Mount Point

Tidak seperti windows, GNU/Linux menganut susunan multi partisi, setiap folder di

GNU/Linux dapat dibuat menjadi sabuah partisi sendiri, dengan pendekatan seperti

ini penyidik harus benar-benar tahu dimanakah hardisk tersebut di mounting, ak-

an timbul masalah besar jika penyidik tidak tahu susunan mount point dari partisi

setiap hardisk.

Solusisnya ada pada turunan unix, seperti GNU/Linux mapping partisi diletakan di

file fstab yang ada pada direktori /etc/. File ini adalah file pertama yang dipanggil

oleh system untuk melakukan mapping partisi.

Gambar 7.8: File /etc/fstab


Untuk mengetahui susunan partisi, penyidik harus merekonstruksi file /etc/fs-

tab, folder /etc/ sendiri sudah pasti berada pada partisi dengan mount point

root. Di titik ini penyidik harus mampu mendefinisikan suatu partisi itu partisi

root atau bukan.


f l s −r −o 499712 20130909. E01 | grep − i " f s t a b "



Gambar 7.9: Pencarian File fstab

Terlihat pada Gambar 7.9 banyak ditemukan file bernama fstab, kembali un-

tuk kali ini seorang penyidik harus teliti menganlisis output yang di lihat. File

fstab ada di folder /etc/, berarti terdapat satu tingkat di bawah partisi root, pa-

da output yang di tampilkan file fstab yang benar adalah yang memiliki inode

506915.

3. Ketikan perintah berikut ini untuk melakukan rekonstruksi file fstab:

i c a t −o 499712 20130909. E01 506915 > f s t a b

4. lihat fil fstab yang telah direkonstruksi dengan menggunakan perintah cat:

v i f s t a b

Gambar 7.10: file fstab

Pada Gambar 7.10 terlihat bahwa ke enam hardsik di mounting pada beberapa

folder yang terpisah, dari Gambar 7.10 juga dapat dilihat keunikan dari partisi



di GNU/Linux, dimana bisa terdapat dua partisi dalam satu mount point yaitu:

/usr dan /usr/local.

7.8. Mengetahui Timestamp dari File

Setiap file memliki timestamp untuk mengetahui kapan file tersebut dimodifikasi, di-

akses, dirubah dan dihapus, pada digital foreksik ini menjadi penting karena dengan

mengatahui timestamp dari suatu file bisa menentukan waktu file tersebut termodfi-

kasi, dari waktu ini kita bisa menemukan siapa tersangka potensialnya.


2. Cari sebuah file di image 20130909.E01 dengan perintah yang sudah diajarkan

sebelumnya, catat inode file yang ditemukan

f l s −r −o 59092992 20130909. E01 | grep " . exe$ "

Gambar 7.11: Hasil Pencarian File

3. Pada

7.9. Memeriksa Jenis File

Pada beberapa kasus file berbahaya di upload dengan mengkamuflasekannya men-

jadi sebuah file yang tidak berbahaya, misal file rootkit yang berekstensi rootkit.sh

diganti menjadi file pasfoto.jpg. Untuk menlakukan ini dapat melakukan perintah-

perintah


2. Ketikan perintah sorter -l -m "/" -e -o 2048 20130909.E01 > jenis_file.txt



Gambar 7.12: Isi File jenis_file.txt

3. Untuk mencari file-file mencurigakan dibutuhkan ketelitian dan beberapa pa-

tern tertentu, misal akan dicari file yang jenisnya executable bisa melakukan

perintah:

cat j e n i s _ f i l e . t x t | egrep − i "PE32 exec " −A 1

7.10. Memeriksa Timestamp

Hampir sama dengan Microsoft Windows mengetahui soal rentang waktu dari file

atau folder dalam file system, timetamp ini seperti log file yang memberikan sebuah

ruang waktu terhadap file atau folder.



f l s −r −o 2048 −m / 20130909. E01 > F u l l F i l e L i s t L i n u x

Perintah ini akan menghasilkan file FullFileList yang berisi list seluruh file di-

dalam image hardisk

mactime −b F u l l F i l e L i s t L i n u x > F u l l F i l e L i s t L i n u x . grouped

Perintah ini akan menghasilkan file FullFileList yang berisi timestamp dari se-

tiap file yang ada di image hardisk. File gruped ini dikelompokan berdasarkan

waktu. File ini digunakan jika akan mencari berdasarkan waktu.

mactime −d −b F u l l F i l e L i s t L i n u x > F u l l F i l e L i s t L i n u x . ungrouped



namafile.



7.11. Melakukan File Carving

File Carving adalah proses merekostruksi file dengan menggunakan metadata dari

file, proses file carving ini terkadang tidak menghasilkan file yang sempurna seperti

sebelum dihapus.

1. Pastikan masih bekerja di file /mnt/hdd/kasus001/barangbukti001/

2. Buat folder ewf di folder mnt dan folder output di /mnt/hdd/kasus001/

barangbukti001/

mkdir /mnt/ ewf /

mkdir /mnt/hdd/ kasus001 / barangbukti001 / output /

3. Konfersikan image ewf menjadi image dd

xmount −−in ewf −−out dd /mnt/hdd/ kasus001 /

barangbukti001 /20130909. E01

/mnt/ ewf

4. Jalankan perintah foremost -t pdf -o -i kasus001/barangbukti001/output/

/mnt/ewf/20130990.dd

7.12. Tugas Mandiri

1. Lakukan fase pengambilan data yang baik dan benar sesuai dengan SOP

2. Lakukan percobaan diatas kepada partisi lain

3. Definisikan partisi dan mount point yang ada pada barang bukti

4. Cari file yang mencurigakan diseluruh partisi hardisk


Modul 8Analisis Sistem Operasi FreeBSD

8.1. Melihat Susunan Partisi

BSD dan turunannya, termasuk FreeBSD filesystem yang digunakan adalah UFS, ba-

ik UFS maupun UFS2 menggunakan teknik partisi slice, yang membuat satu partisi

besar kemudian baru dipecah-pecah menjadi partisi-partisi kecil yang akan digu-

nakan. Untuk yang awam dengan sistem operasi ini akan menjadi sebuah masalah

tersendiri ketika akan melakukan analisis.

Melihat susunan partisi di UFS dapat dilakukan dengan cara berikut:


2. Lakukan analisis terhadap image yang ada dengan mengetikan perintah:

mmls bsd . E01

perintah ini akan menghasilkan list partisi, tampak pada Gambar 8.1 partisi

yang muncul hanya satu. Sampai di titik ini jangan terjebak pada rutinitas yg

dilakukan di GNU/Linux. UFS menggunakan slice dalam membuat partisi, jadi

mungkin saja di dalam partisi ini terdapat partisi lain.

Gambar 8.1: List Partisi

3. Lakukan perintah ini untuk mengetahui apakah masih ada partisi lain di image

yang dibuat:

mmls −o 63 bsd . E01

73

Analisis Sistem Operasi FreeBSD

Perintah ini akan menghasilkan list partisi yang lebih lengkap dari perintah se-

belumnya, seperti pada Gambar 8.2 terlihat bahwa ada beberapa partisi baru

yang muncul.

Gambar 8.2: List Partisi Lengkap

4. Dari langkah sebelumnya didapatkan beberapa ofset sektor yang bisa diguna-

kan untuk melakukan kegitan forensik

8.2. Mengetahui Konten Partisi

Setelah menemukan ofset sektor dari suatu partisi penyidik bisa langsung melihat isi

dari partisi yang dipilih ofsetnya sebelumnya.

1. Ketikan perintah berikut untuk melihat konten dari partisi yang dipilih:

f l s −o 63 bsd . E01

Gambar 8.3: Melihat Konten Hardisk



Perintah ini akan menampilkan seluruh isi dari partisi yang dipih offset sektor-

nya, untuk melakukannya secara rekrusif dapat menambahkan option -r, men-

jadi seperti :

f l s −r −o 63 bsd . E01

Tabel 8.1: Melihat Seluruh Konten Hardisk

2. Coba lakukan terhadap partisi lain

8.3. Mencari File

Salah satu kemampuan terpenting seorang penyidik forensik adalah mencari file, di

Microsoft Windows jumlah file tidak sebanyak yang ada di FreeBSD sehingga ke-

mampuan mencari file di FreeBSD akan menjadi sedikit lebih rumit daripada di Mi-

crosoft Windows. Sebelum melakukan forensik pada FreeBSD harus memiliki ke-

mampuan yang mendalam tentang struktur direktori dan file yang ada, kemampuan

ini penting karena melihat kerumitan dari struktur direktori Free BSD.

1. Pastikan masih aktif di direktori /home/forensic

2. ketikan perintah berikut ini untuk mencari file “fstab” untuk mengetahui su-

sunan mount pointnya

f l s −o 63 −r bsd . E01 | grep − i " f s t a b "



Gambar 8.4: output pencarian

Dari hasil pencarian ini di dapatkan alamat inode dari file yang dicari, alamat

inode ini bisa digunakan pada untuk merekonstruksi file.


Setelah menemukan file yang dicari, langkah berikutnya adalah merekonstruksi file

yang ditemukan, file yang ditemukan ini mungkin saja masih ada di hardisk atau

bahkan sudah dihapus. Proses merekonstruksi akan menggunakan alamat inode dari

file yang ditemukan.

1. Pastikan masih aktif di folder /home/forensic

2. Ketikan perintah ini untuk merekonstruksi file fstab yang sebelumnya sudah

ditemukan

i c a t −r −o 63 bsd . E01 34569 > f s t a b

Perintah ini akan menghasilkan satu file dengan nama fstab, untuk melihatnya

dapat menggunakan perintah vi, nano ataupun cat.

Gambar 8.5: outpout file fstab

3. Coba rekonstruksi beberapa file yang dianggap penting.

8.5. Mengetahui Timestamp File System

Hampir sama dengan Microsoft Windows dan GNU/Linux mengetahui soal rentang

waktu dari file atau folder dalam file system, timetamp ini seperti log file yang mem-

berikan sebuah ruang waktu terhadap file atau folder.





f l s −r −o 63 bsd . E01 > F u l l F i l e L i s t B S D

Perintah ini akan menghasilkan file FullFileList yang berisi list seluruh file di-

dalam image hardisk

mactime −b F u l l F i l e L i s t B S D > F u l l F i l e L i s t B S D . grouped

Perintah ini akan menghasilkan file FullFileList yang berisi timestamp dari se-

tiap file yang ada di image hardisk. File gruped ini dikelompokan berdasarkan

waktu. File ini digunakan jika akan mencari berdasarkan waktu.

mactime −d −b F u l l F i l e L i s t B S D > F u l l F i l e L i s t B S D . ungrouped



namafile.

8.6. Memeriksa Jenis File

Seperti pada GNU/Linux banyak script hacking akan menyamar menjadi file yang

berekstensi biasa, seperti : ods,odp,odt,pdf,jpeg,png, dll, Pada kasus yang lebih ru-

mit biasanya file jahat ini memiliki header yang aman namun di tengah file yang di-

anggap aman tersebut terdapat kode jahat yang siap menyerang atau mengirimkan

data ke pemilik kode jahat, namun pada percobaan kali ini tidak akan dibahas kasus

yang rumit itu, pada percobaa ini akan di jelaskan bagaimana melihat file jahat dari

header filenya.

Memeriksa Jenis file dapat menggunakan analisis fisik namun akan seditik menyu-

sahkan bagi para pemula, pada kasus ini akan menggunakan analisis logis untuk

mendapatkan jenis file yang tidak sama antara ekstensi dan jenis filenya.

Mounting Image


2. Login sebagai super user

su

[ masukan password ]

3. Konversikan image bsd.E01 ke format dd mengunkan xmount

xmount −−in ewf −−out dd bsd . E01 / ewf



jika tidak memunculkan pesan itu berarti proses konversi berjalan dengan suk-

ses, untuk melihat hasilnya jalankan perintah:

l s − l i s a / ewf

Gambar 8.6: isi folder /ewf

4. Cek susunan partisi image bsd.E01 menggunakan perintah

mmls −o 63 bsd . E01

akan muncul list partisi yang ada beserta dengan ofset partisinya

5. Konfigurasi perangkat loop untuk pastisi pertama

losetup −o $ ( ( 6 3∗5 1 2 ) ) / dev / loop0 / ewf /bsd . dd

6. Buat folder /mnt/case/

mkdir /mnt/ case

7. Mounting loop untuk mengaitkan partisi pertama ke sistem

mount −o ro , noexec , noatime / dev / loop0 /mnt/ case

Image hardisk harus di mounting dalam mode read only, onexec, dan noatime

untuk menghindari terjadinya modifikasi terhadap file system.Sampai di titik

ini satu partisi freebsd telah di mounting di folder case.

Analisis Logis

Hal yang harus diperhatikan pada saat melakukan analisis logis adalah, jangan sam-

pai merubah satu filepun yang terdapat pada image hardisk yang dibuat, jadi pada

analisis logis ini penyidik harus sedikit lebih teliti dan berhati-berhati terhadap apa

yang dilakukannya.

1. Jalankan perintah ini

f i n d . −type f −iname "∗ . c f g " −p r i n t 0 | xargs −0 l s



Perintah ini akan mencari file-file yang berakhiran dengan .cfg

Gambar 8.7: otuput perintah find

2. Jalankan perintah ini

f i n d / case −type f −p r i n t 0 | xargs −0 f i l e | grep − i "PE32 exec "

dari perintah ini akan ditemukan beberapa file yang memiliki ekstensi aman,

namun sepenarnya file ini adalah sebuhah executable filenya windows.

3. Lakukan cara yang sama untuk mencari jenis file lain seperti php tapi memliki

header yang aman, apakah ditemukan?


Bagian IV

Pengantar Analisis Live Data (Volatile

Data)

81

Modul 9Analisis RAM pada Windows

9.1. Mengetahui Profile

Mengetahui profile dari sistem operasi dari dump file memori sangatlah penting dan

menjadi langkah pertama. Karena untuk mendapatkan informasi yang lain dibu-

tuhkan nama profilenya.



vol . py imageinfo −f stuxnet .vmem

Gambar 9.1: Melihat Informasi Image

9.2. Melihat Daftar Proses

Melihat daftar proses yang terekam pada dump file memori tersebut dapat menggu-

nakan program vol.py yang terdapat pada volatility.



vol . py −f stuxnet .vmem −−p r o f i l e =WinXPSP3x86 p s l i s t

83

Analisis RAM pada Windows

Gambar 9.2: Proses yang Berjalan

Pada Gambar 9.2 terlihat daftar proses yang terekam pada dump file memo-

ri. Mulai dari nilai offset yang digunakan sebagai alamat untuk merekonstruksi

kembali applikasi tersebut. Nama dari aplikasi yang berjalan, PID, PPID, dan

waktu aplikasi tersebut itu dijalankan dan dihentikan.

9.3. Melihat Daftar Koneksi

Melihat daftar koneksi yang terekam pada dump file memori datap menggunakan

program vol.py yang terdapat pada volatility.



vol . py −f stuxnet .vmem −−p r o f i l e =WinXPSP3x86 connscan

Gambar 9.3: Koneksi yang Aktif

Pada Gambar 9.3 tidak terlihat daftar koneksi yang terjadi, berarti pada saat me-

lakukan dump file memori perangkat sedang tidak menjalin koneksi dengan

perngakat lain baik melalui kabel lan maupun wifi.

9.4. Melihat Registri Windows

Melihat registri windows merupakan hal yang tidak kalah penting karena semua con-

figurasi pada sistem operasi windows terekam pada registri.





vol . py −f stuxnet .vmem −−p r o f i l e =WinXPSP3x86 h i v e l i s t

Gambar 9.4: Melihat Registri Windows

Pada Gambar 9.4 terlihat semua registri, seperti : software, sam, dan system.

Perhatikan alamat virtual dan alamat physicalnya, karena kode alamat tersebut

akan dibutuhkan jika ingin melihat file registri.

9.5. Melihat Isi File Password Windows

Semua password yang ada pada windows biasanya terletak pada file registri SAM.

Sebelumnya dengan hivelist didapatkan alamat virtualnya dari semua registri. Gu-

nakan alamat virtual dari registri system dan sam untuk melihat file registri samnya.



vol . py −f stuxnet .vmem −−p r o f i l e =WinXPSP3x86

hashdump −y 0xe1035b60 −s 0xe1638b60

Gambar 9.5: Hashdump

Pada Gambar 9.5 terlihat isi file registri sam namun nilainya masih dihash se-

hingga perlu mengubahnya kembali agar dapat dibaca.

9.6. Merekonstruksi File Executable

Untuk merekonstruksi file executable yang terekam pada dump file memori. Sehing-

ga, jika ada aplikasi yang mencurigaan dapat direkonstruksi kembali.



mkdir /tmp/dumpdir



Perintah untuk membuat sebuah folder dumpdir pada folder /tmp.


procexecdump −−dump−d i r =/tmp/dumpdir/


−p 624 procexecdump −−dump−d i r =/tmp/dumpdir/

Gambar 9.6: Merekonstruksi File Executable

Pada Gambar 9.6 winlogon.exe yang terekam pada dump file memori dengan

alamat proses 624 berhasil direkonstruksi kembali.


Modul 10Analisis RAM pada GNU/Linux

10.1. Melihat Daftar Proses

Ketika proses pembuatan image ram di lakukan, semua proses yang berjalan pada

ram tersebut juga akan terekam di dalam image ram tersebut. Sehingga kita dapat

melihat semua proses yang sedang berjalan pada ram tersebut dengan perintah di

bawah ini:


2. ketikan perintah berikut

vol . py −f j a k a r t a .vmem −−p r o f i l e =LinuxDebian6_3_2_0_4_486x86

l i n u x _ p s l i s t

Gambar 10.1: Daftar Proses

Gambar on this page dapat dilihat semua proses yang berjalan ketika kompu-

ter berjalan. Terlihat begitu banyak proses seperti init, kthreadd,cpuset,netns

dan sebagainya. Masing-masing proses memiliki offset, Pid,Uid dan keterang-

an waktu ketika proses itu berjalan.

87

Analisis RAM pada GNU/Linux

10.2. Melihat Koneksi Yang Terjadi

Koneksi yang terjalin pada komputer juga dapat di lihat. Baik itu koneksi dengan Lan

maupun Wifi. Cara untuk melihat semua koneksi yang terjadi dengan perintah di

bawah ini :


2. Ketikan Perintah:


l i n u x _ n e t s t a t

Gambar 10.2: Daftar Koneksi

Dari gambar on the current page terlihat semua koneksi yang terjadi pada kom-

puter. Dapat terlihat ada beberapa komputer lain yang melakukan ssh ke kom-

puter tersebut.

10.3. Mencari File

Mencari file pada image ram dapat dilihat dari inode file tersebut berada. Sebagai

contoh cari file passwd dari image ram tersebut yang berada pada folder /etc/passwd

dengan perintah di bawah ini :




l i n u x _ f i n d _ f i l e −F "/ etc /passwd"

Gambar 10.3: Inode File “/etc/passwd”



Dari gambar on the facing page dapat diketahui inode dari file “/etc/passwd” hasil

pencarian.

10.4. Mengembalikan File

Mengembalikan file dari image ram dapat dilakukan dengan mencari inode dari fi-

le itu berada. Dari inode itulah file tersebut dapat dikembalikan. Sebagai contoh

mengembalikan file shadow yang berada pada folder /etc/shadow dengan perintah

di bawah ini(keterangan perintah ini dapat di lihat di ..... ) :




l i n u x _ f i n d _ f i l i − i 0 xf5ef6789 −O shadow

Gambar 10.4: Merekonstruksi File “/etc/shadow”

Dari gambar on the preceding page pertama cari dulu inode dari file “/etc/”shadow”

dengan perintah pertama. Setelah diketahui inodenya yaitu 0xf5ef6780, maka

lakukan perintah kedua untuk mengembalikan filenya dan disimpan dengan

nama shadow.

10.5. Latihan Mandiri


Bibliografi

[1] Iso 27037 guidelines for identification, collection, acquisition and preservation of

digital evidence.

[2] Prosedur standar operasi (pso) untuk komputer forensik.

[3] Chris Davis Aaron Philipp, David Cowen. Hacking Exposed Computer Forensics.

McGraw-Hill, 2 edition, 2009.

[4] Brian Carrier. File System Forensic Analysis. Addison Wesley, 2005.

91

modul file systems forensics using...

Documents