digital forensik : forensic toolkit
TRANSCRIPT
Tugas
DIGITAL FORENSIK (Forensic Toolkit)
KELOMPOK 5 – KELAS E
Christian Julianto Kevin – 152067 Dwi Heri Yanto – 152225 Dewi Eva Santi – 152414
Enita Oktoviani Bua Rante – 152043 Meri – 152155
Musywirah MS – 152254
DOSEN : ERFAN HASMIN, S.Kom.,MT.
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER (STMIK) DIPANEGARA MAKASSAR
2016
i
DAFTAR ISI A. OVERVIEW .................................................................................................... ii
B. FUNGSI APLIKASI ....................................................................................... iii
1. FORENSIC TOOLKIT ............................................................................... iii
2. FTK IMAGER ............................................................................................ iv
3. ACCESSDATA REGISTRY VIEWER ...................................................... v
C. TUJUAN ......................................................................................................... vi
D. LANGKAH-LANGKAH PENGGUNAAN .................................................... 1
1. FTK IMAGER ............................................................................................. 1
Create Disk Image ........................................................................................... 1
Capture Memory .............................................................................................. 8
Decrypt AD1 Image ......................................................................................... 9
Obtain Protected Files .................................................................................... 12
2. ACCESSDATA REGISTRY VIEWER .................................................... 14
E. DAFTAR PUSTAKA .................................................................................... 16
ii
A. OVERVIEW
Forensik Toolkit, atau FTK, adalah perangkat lunak komputer forensik yang
dibuat oleh AccessData. Ia menscan hard drive mencari berbagai informasi. ia dapat
misalnya menemukan email yang dihapus dan menscan disk untuk string teks untuk
menggunakannya sebagai kamus password untuk memecahkan enkripsi.
Toolkit ini juga mencakup program disk imaging mandiri yang disebut FTK
Imager. FTK Imager adalah alat sederhana namun ringkas. Ia Menyimpan images
dari hard disk dalam satu file atau dalam segmen yang mungkin nanti direkonstruksi.
Menghitung nilai hash MD5 dan memastikan integritas data sebelum menutup file.
Hasilnya adalah sebuah file images yang dapat disimpan dalam beberapa format
termasuk, DD raw.
FTK adalah sebuah Platform pengutip pengadilan investigasi digital dibangun
untuk kecepatan, stabilitas dan kemudahan penggunaan. FTK menyediakan
pengolahan komprehensif dan pengindeksan depan, sehingga penyaringan dan
pencarian lebih cepat dibanding dengan produk lain. Ini berarti Anda dapat " zero -
in " pada bukti yang relevan dengan cepat, secara dramatis meningkatkan kecepatan
analisis Anda. Selanjutnya, karena arsitekturnya, FTK bisa diseting untuk
pemrosesan terdistribusi dan menggabungkan manajemen kasus berbasis web dan
analisis kolaboratif.
iii
B. FUNGSI APLIKASI
1. FORENSIC TOOLKIT
1. INTEGRATED DIGITAL INVESTIGATION SOLUTION
Solusi Forensik Digital Terpadu
Membuat images, proses berbagai jenis data dari berbagai sumber dari data
hard drive untuk perangkat mobile, data jaringan dan penyimpanan internet
di lokasi terpusat. Mendekripsi file, crack password, dan membangun
laporan semua dengan satu solusi.
• Memulihkan password lebih dari 100 aplikasi
• Perpustakaan hash KFF dengan 45 juta hash
• Maju, analisis otomatis tanpa scripting
2. UNIQUE FTK® ARCHITECTURE & STABILITY
Arsitektur Unik FTK Menyediakan Stabilitas Tak Tertandingi
FTK adalah database driven sehingga Anda tidak akan mengalami
kehilangan pekerjaan yang terkait dengan perangkat berbasis memori dalam
hal GUI crash. Komponen FTK yang compartmentalized memungkinkan
pekerja processing untuk melanjutkan pengolahan data tanpa gangguan.
3. UNMATCHED PROCESSING CAPABILITIES
Pengolahan Tak Tertandingi
• Pengolahan Didistribusikan dengan tota 4 mesin
• Dukungan True multi-threaded / multi-core
• Pengolahan Wizard-driven processing memastikan tidak ada data
yang terlewatkan
• Perbaikan Pra dan Pasca Pengolahan
• Mesin data carving canggih memungkinkan anda untuk menentukan
kriteria, seperti ukuran file, tipe data, dan ukuran pixel untuk
iv
mengurangi jumlah data yang tidak relevan yang diukir sambil
meningkatkan keseluruhan ketelitian
• Create, import dan eksport profil pengolahan yang dapat digunakan
kembali dengan yang telah ditentukan pilihan pengolahan untuk
kebutuhan investigasi yang berbeda
4. Log2timeline CVS Support
5. Broad File system, File type & Mail support
6. Broad Encryption Support
7. Data Visualization and Explicit Image Detection (EID)
8. Comprehensive Index & Binary Searching
9. Single-node Remote Investigations
10. Advanced Volatile / Memory Analysis
11. Microsoft® PhotoDNA® Integration
12. Volume Shadow Copy (VSC) file review
13. Automated Language Identification
14. Internet And Chat Analysis
15. Exceptional Apple® iOS® Analysis
16. Rich Reporting
2. FTK IMAGER
FTK imager merupakan sebuah acquisition tool digital forensik yang dibuat
oleh AccessData. FTK Imager dapat digunakan untuk membuat image sebuah
drive (physical imaging), membuat image isi sebuah folder, maupun membuat
custom image yang terdiri atas file-file yang dipilih saja. Masing-masing opsi
sangat berguna di dalam kondisi lapangan yang berbeda-beda dan jenis
evidence yang dicari.
v
3. ACCESSDATA REGISTRY VIEWER
AccessData Registry Viewer memungkinkan peneliti forensik untuk melihat isi
registry Windows dan mencari data tertentu seperti file yang baru dibuka,
perangkat penyimpanan removable, nama akun pengguna, menghapus file di
Recycle Bin, dan pemilik software nama terdaftar.
vi
C. TUJUAN Membuat image sebuah drive (physical imaging), menangkap memori (Capture
Memory), mendecrypt images, serta melihat registry windows. FTK memanfaatkan
kemampuan pemrosesan multi-mesin, memotong waktu pengolahan kasus lebih
dari 400 % dibandingkan pesaing terkemuka mengurangi kasus backlog signifikan;
ia melakukan pengolahan komprehensif dimuka sangat meningkatkan kecepatan
dengan pemeriksa dapat fokus pada penyelidikan yang sebenarnya.
1
D. LANGKAH-LANGKAH PENGGUNAAN
1. FTK IMAGER
Create Disk Image
Membuat physical image dari USB FlashDrive dengan menggunakan FTK
Imager :
1. Tancapkan dan pastikan Flash Drive sudah terdeteksi/terbaca oleh sistem
komputer.
2. Buka Aplikasi FTK Imager lalu pilih menu File → Create Disk Image...
3. Setelah itu, pilih Physical Drive karena akan dilakukan imaging terhadap
fisik dari flashdrive. Kemudian klik Next
2
4. Pilih device yang akan dibuat physical image-nya. Dalam hal ini, pilih
flashdrive yang tadi sudah terbaca sistem, kemudian klik tombol Finish.
5. Atur setting destination folder dengan klik tombol Add
• Image Destination : Add untuk mengatur lokasi hasil imaging, Edit
untuk mengedit lokasi yang telah ditambahkan, remove untuk
menghapus lokasi
• Verify images after they are created : berguna untuk menghitung kode
hash barang bukti dan hasil imaging kemudian mencocokkan keduanya.
• Create directory listings of all files in the image after they created :
membuat daftar directori dari image yang telah di buat.
3
6. Tentukan format dari image, disini memakai format Raw (dd)
- SMART format file dari program SMART
- E01 format file dari EnCase
- AFF (Advanced Forensic Format)
7. Menambahkan Informasi pada barang bukti
4
8. Setelah itu, atur Destination Folder
- Image Destination Folder : pilih lokasi tujuan
- Image Filename : Mengisi Nama File Image
- Image Fragment : Berfungsi untuk memecah file menjadi beberapa file
sesuai dengan size yang dimasukkan. Tulis 0 agar file tidak dipecah
Setelah itu klik Finish
9. Klik Start untuk memulai imaging…
5
10. Tunggu proses Imaging selesai
11. Setelah selesai proses imaging, akan muncul window verifikasi (integrity
check) file image apakah telah sama persis nilai hash-nya dengan yang asli.
6
12. Setelah dilakukan verifikasi file, hasil akhirnya akan muncul pada sebuah
window yang berisi nilai hash dan kecocokan nilai hash file image dengan
aslinya. Silakan diamati, jika sudah OK, klik tombol Close.
13. Proses imaging telah sukses..
7
14. Jika klik Image Summary button akan melihat Summary Report dari
proses Imaging.
15. Hasil dari Imaging dapat kita lihat di Folder Penyimpanan tadi (desktop).
akan ditemukan 2 file, yaitu 1 file image dan 1 file teks (berisi informasi
proses imaging dan hasil verifikasi/integrity check). Pilih file image, klik
kanan → Properties untuk melihat size file image-nya maka akan sama
dengan size Flash Drive tadi
8
Capture Memory
Menangkap data yang disimpan di memori dalam sistem (Capture Memory)
menggunakan FTK Imager :
1. Buka Aplikasi FTK Imager lalu pilih menu File → Capture Memory...
2. Setelah itu atur lokasi serta nama file, kemudian klik Capture Memory..
- Destination path : lokasi tempat hasil penangkapan memori
- Destination filename : nama file
- Include pagefile : memasukkan isi pagefile.sys, yang merupakan file
sistem Windows yang bertindak sebagai file swap untuk memori, oleh
karena itu, dapat berisi informasi memori yang juga berguna.
- Create AD1 file : Membuat file AD1 memungkinkan untuk membuat
sebuah AD1 images dari isi memori - maka dapat menambahkannya
sebagai bukti barang untuk meninjau isinya.
9
3. Tunggu proses Capture selesai…
4. Setelah selesai klik Close, cek lokasi yang telah diatur tadi maka akan
terdapat file hasil dengan format .mem.
Decrypt AD1 Image
Mengenkripsi & Mendekripsi file/image menggunakan FTK Imager :
1. Buka Aplikasi FTK Imager lalu pilih menu File → Decrypt AD1 Image...
10
2. Lalu Pilih file yang akan dienkripsi atau didekripsi, disini akan
mengenkripsi file ftk.001.txt, klik Open
3. Pilih lokasi tempat hasil enkripsi. Setelah itu, klik Save
11
4. Masukkan password atau bisa memilih opsi Certificate. Kemudian klik OK
5. Tunggu proses hingga selesai, setelah itu klik OK, maka di lokasi yang telah
diatur tadi sudah terdapat file/image yang telah terenkripsi
6. Jika ingin mengdekripsi file/image langkahnya sama, pilih file yang akan
didekripsi, lalu pilih lokasi hasil dekripsi, setelah itu masukkan password
atau opsi Certificate tergantung pada proses enkripsinya…
12
7. Tungu hingga proses selesai, maka di folder yang telah diatur tadi telah
terdapat hasil file/image yang sudah didekripsi
Obtain Protected Files
Dari menu File, dapat memilih Obtain Protected Files untuk menghindari
sistem operasi Windows dan file locks nya, sehingga memungkinkan untuk
menyalin file live registry. Jika pengguna memperbolehkan Windows untuk
mengingat passwordnya, informasi itu dapat disimpan dalam file registry.
1. Masuk ke Menu File → Obtain Protected Files…
13
2. Setelah itu atur lokasi penyimpanan file yang akan diperoleh dan opsinya,
disini menggunakan opsi Password recovery and all registry files,
kemudian klik OK
- Opsi Minimum files for login password recovery mengambil Pengguna
(Users), sistem, dan file SAM dimana bisa mendapatkan informasi akun
pengguna
- Opsi Password recovery and all registry files lebih komprehensif,
mengambil Pengguna (Users), Sistem, SAM, NTUSER.DAT, Default,
Security, Software, dan Userdiff file dimana bisa mendapatkan
informasi akun dan password yang mungkin ke file lain.
3. Tunggu hingga proses Obtaining selesai
14
4. Setelah selesai, maka dilokasi yang sudah diatur tadi akan terdapat file-file
hasil Obtaining tadi.
2. ACCESSDATA REGISTRY VIEWER
Melihat isi registry windows menggunakan AccessData Registry Viewer :
1. Buka Registry Viewer lalu pilih menu File → Open..
2. Buka file registry, disini menggunakan file registry yang telah diambil
dengan FTK Imager…
15
3. Setelah itu, akan tampil registry dari file tersebut. Registry Viewer dapat
melihat isi file registry yang biasanya tidak bisa dibuka oleh Registry Editor
Windows, mungkin karena di lock dsb. File registry yang digunakan dsini
adalah NTUSER.DAT, File NTUSER.DAT adalah file registry. Setiap
profil pengguna yang dibuat pada sistem operasi Windows memiliki file
NTUSER.DAT Sebuah profil pengguna berisi file pribadi dan pengaturan
preferensi yang spesifik untuk setiap pengguna . Misalnya, setiap profil
pengguna berisi folder Dokumen yang unik, Start Menu konfigurasi,
desktop properties dan riwayat browsing.
16
E. DAFTAR PUSTAKA
Capabilities FTK. (2016, June 23). Retrieved from Access Data:
http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk/capabilities
Forensic Toolkit (FTK). (2016, June 23). Retrieved from Access Data: http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk