Tugas

DIGITAL FORENSIK (Forensic Toolkit)

KELOMPOK 5 – KELAS E

Christian Julianto Kevin – 152067 Dwi Heri Yanto – 152225 Dewi Eva Santi – 152414

Enita Oktoviani Bua Rante – 152043 Meri – 152155

Musywirah MS – 152254

DOSEN : ERFAN HASMIN, S.Kom.,MT.

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER (STMIK) DIPANEGARA MAKASSAR

2016

i

DAFTAR ISI A. OVERVIEW .................................................................................................... ii

B. FUNGSI APLIKASI ....................................................................................... iii

1. FORENSIC TOOLKIT ............................................................................... iii

2. FTK IMAGER ............................................................................................ iv

3. ACCESSDATA REGISTRY VIEWER ...................................................... v

C. TUJUAN ......................................................................................................... vi

D. LANGKAH-LANGKAH PENGGUNAAN .................................................... 1

1. FTK IMAGER ............................................................................................. 1

Create Disk Image ........................................................................................... 1

Capture Memory .............................................................................................. 8

Decrypt AD1 Image ......................................................................................... 9

Obtain Protected Files .................................................................................... 12

2. ACCESSDATA REGISTRY VIEWER .................................................... 14

E. DAFTAR PUSTAKA .................................................................................... 16

ii

A. OVERVIEW

Forensik Toolkit, atau FTK, adalah perangkat lunak komputer forensik yang

dibuat oleh AccessData. Ia menscan hard drive mencari berbagai informasi. ia dapat

misalnya menemukan email yang dihapus dan menscan disk untuk string teks untuk

menggunakannya sebagai kamus password untuk memecahkan enkripsi.

Toolkit ini juga mencakup program disk imaging mandiri yang disebut FTK

Imager. FTK Imager adalah alat sederhana namun ringkas. Ia Menyimpan images

dari hard disk dalam satu file atau dalam segmen yang mungkin nanti direkonstruksi.

Menghitung nilai hash MD5 dan memastikan integritas data sebelum menutup file.

Hasilnya adalah sebuah file images yang dapat disimpan dalam beberapa format

termasuk, DD raw.

FTK adalah sebuah Platform pengutip pengadilan investigasi digital dibangun

untuk kecepatan, stabilitas dan kemudahan penggunaan. FTK menyediakan

pengolahan komprehensif dan pengindeksan depan, sehingga penyaringan dan

pencarian lebih cepat dibanding dengan produk lain. Ini berarti Anda dapat " zero -

in " pada bukti yang relevan dengan cepat, secara dramatis meningkatkan kecepatan

analisis Anda. Selanjutnya, karena arsitekturnya, FTK bisa diseting untuk

pemrosesan terdistribusi dan menggabungkan manajemen kasus berbasis web dan

analisis kolaboratif.

iii

B. FUNGSI APLIKASI

1. FORENSIC TOOLKIT

1. INTEGRATED DIGITAL INVESTIGATION SOLUTION

Solusi Forensik Digital Terpadu

Membuat images, proses berbagai jenis data dari berbagai sumber dari data

hard drive untuk perangkat mobile, data jaringan dan penyimpanan internet

di lokasi terpusat. Mendekripsi file, crack password, dan membangun

laporan semua dengan satu solusi.

• Memulihkan password lebih dari 100 aplikasi

• Perpustakaan hash KFF dengan 45 juta hash

• Maju, analisis otomatis tanpa scripting

2. UNIQUE FTK® ARCHITECTURE & STABILITY

Arsitektur Unik FTK Menyediakan Stabilitas Tak Tertandingi

FTK adalah database driven sehingga Anda tidak akan mengalami

kehilangan pekerjaan yang terkait dengan perangkat berbasis memori dalam

hal GUI crash. Komponen FTK yang compartmentalized memungkinkan

pekerja processing untuk melanjutkan pengolahan data tanpa gangguan.

3. UNMATCHED PROCESSING CAPABILITIES

Pengolahan Tak Tertandingi

• Pengolahan Didistribusikan dengan tota 4 mesin

• Dukungan True multi-threaded / multi-core

• Pengolahan Wizard-driven processing memastikan tidak ada data

yang terlewatkan

• Perbaikan Pra dan Pasca Pengolahan

• Mesin data carving canggih memungkinkan anda untuk menentukan

kriteria, seperti ukuran file, tipe data, dan ukuran pixel untuk

iv

mengurangi jumlah data yang tidak relevan yang diukir sambil

meningkatkan keseluruhan ketelitian

• Create, import dan eksport profil pengolahan yang dapat digunakan

kembali dengan yang telah ditentukan pilihan pengolahan untuk

kebutuhan investigasi yang berbeda

4. Log2timeline CVS Support

5. Broad File system, File type & Mail support

6. Broad Encryption Support

7. Data Visualization and Explicit Image Detection (EID)

8. Comprehensive Index & Binary Searching

9. Single-node Remote Investigations

10. Advanced Volatile / Memory Analysis

11. Microsoft® PhotoDNA® Integration

12. Volume Shadow Copy (VSC) file review

13. Automated Language Identification

14. Internet And Chat Analysis

15. Exceptional Apple® iOS® Analysis

16. Rich Reporting

2. FTK IMAGER

FTK imager merupakan sebuah acquisition tool digital forensik yang dibuat

oleh AccessData. FTK Imager dapat digunakan untuk membuat image sebuah

drive (physical imaging), membuat image isi sebuah folder, maupun membuat

custom image yang terdiri atas file-file yang dipilih saja. Masing-masing opsi

sangat berguna di dalam kondisi lapangan yang berbeda-beda dan jenis

evidence yang dicari.

v

3. ACCESSDATA REGISTRY VIEWER

AccessData Registry Viewer memungkinkan peneliti forensik untuk melihat isi

registry Windows dan mencari data tertentu seperti file yang baru dibuka,

perangkat penyimpanan removable, nama akun pengguna, menghapus file di

Recycle Bin, dan pemilik software nama terdaftar.

vi

C. TUJUAN Membuat image sebuah drive (physical imaging), menangkap memori (Capture

Memory), mendecrypt images, serta melihat registry windows. FTK memanfaatkan

kemampuan pemrosesan multi-mesin, memotong waktu pengolahan kasus lebih

dari 400 % dibandingkan pesaing terkemuka mengurangi kasus backlog signifikan;

ia melakukan pengolahan komprehensif dimuka sangat meningkatkan kecepatan

dengan pemeriksa dapat fokus pada penyelidikan yang sebenarnya.

1

D. LANGKAH-LANGKAH PENGGUNAAN

1. FTK IMAGER

Create Disk Image

Membuat physical image dari USB FlashDrive dengan menggunakan FTK

Imager :

1. Tancapkan dan pastikan Flash Drive sudah terdeteksi/terbaca oleh sistem

komputer.

2. Buka Aplikasi FTK Imager lalu pilih menu File → Create Disk Image...

3. Setelah itu, pilih Physical Drive karena akan dilakukan imaging terhadap

fisik dari flashdrive. Kemudian klik Next

2

4. Pilih device yang akan dibuat physical image-nya. Dalam hal ini, pilih

flashdrive yang tadi sudah terbaca sistem, kemudian klik tombol Finish.

5. Atur setting destination folder dengan klik tombol Add

• Image Destination : Add untuk mengatur lokasi hasil imaging, Edit

untuk mengedit lokasi yang telah ditambahkan, remove untuk

menghapus lokasi

• Verify images after they are created : berguna untuk menghitung kode

hash barang bukti dan hasil imaging kemudian mencocokkan keduanya.

• Create directory listings of all files in the image after they created :

membuat daftar directori dari image yang telah di buat.

3

6. Tentukan format dari image, disini memakai format Raw (dd)

- SMART format file dari program SMART

- E01 format file dari EnCase

- AFF (Advanced Forensic Format)

7. Menambahkan Informasi pada barang bukti

4

8. Setelah itu, atur Destination Folder

- Image Destination Folder : pilih lokasi tujuan

- Image Filename : Mengisi Nama File Image

- Image Fragment : Berfungsi untuk memecah file menjadi beberapa file

sesuai dengan size yang dimasukkan. Tulis 0 agar file tidak dipecah

Setelah itu klik Finish

9. Klik Start untuk memulai imaging…

5

10. Tunggu proses Imaging selesai

11. Setelah selesai proses imaging, akan muncul window verifikasi (integrity

check) file image apakah telah sama persis nilai hash-nya dengan yang asli.

6

12. Setelah dilakukan verifikasi file, hasil akhirnya akan muncul pada sebuah

window yang berisi nilai hash dan kecocokan nilai hash file image dengan

aslinya. Silakan diamati, jika sudah OK, klik tombol Close.

13. Proses imaging telah sukses..

7

14. Jika klik Image Summary button akan melihat Summary Report dari

proses Imaging.

15. Hasil dari Imaging dapat kita lihat di Folder Penyimpanan tadi (desktop).

akan ditemukan 2 file, yaitu 1 file image dan 1 file teks (berisi informasi

proses imaging dan hasil verifikasi/integrity check). Pilih file image, klik

kanan → Properties untuk melihat size file image-nya maka akan sama

dengan size Flash Drive tadi

8

Capture Memory

Menangkap data yang disimpan di memori dalam sistem (Capture Memory)

menggunakan FTK Imager :

1. Buka Aplikasi FTK Imager lalu pilih menu File → Capture Memory...

2. Setelah itu atur lokasi serta nama file, kemudian klik Capture Memory..

- Destination path : lokasi tempat hasil penangkapan memori

- Destination filename : nama file

- Include pagefile : memasukkan isi pagefile.sys, yang merupakan file

sistem Windows yang bertindak sebagai file swap untuk memori, oleh

karena itu, dapat berisi informasi memori yang juga berguna.

- Create AD1 file : Membuat file AD1 memungkinkan untuk membuat

sebuah AD1 images dari isi memori - maka dapat menambahkannya

sebagai bukti barang untuk meninjau isinya.

9

3. Tunggu proses Capture selesai…

4. Setelah selesai klik Close, cek lokasi yang telah diatur tadi maka akan

terdapat file hasil dengan format .mem.

Decrypt AD1 Image

Mengenkripsi & Mendekripsi file/image menggunakan FTK Imager :

1. Buka Aplikasi FTK Imager lalu pilih menu File → Decrypt AD1 Image...

10

2. Lalu Pilih file yang akan dienkripsi atau didekripsi, disini akan

mengenkripsi file ftk.001.txt, klik Open

3. Pilih lokasi tempat hasil enkripsi. Setelah itu, klik Save

11

4. Masukkan password atau bisa memilih opsi Certificate. Kemudian klik OK

5. Tunggu proses hingga selesai, setelah itu klik OK, maka di lokasi yang telah

diatur tadi sudah terdapat file/image yang telah terenkripsi

6. Jika ingin mengdekripsi file/image langkahnya sama, pilih file yang akan

didekripsi, lalu pilih lokasi hasil dekripsi, setelah itu masukkan password

atau opsi Certificate tergantung pada proses enkripsinya…

12

7. Tungu hingga proses selesai, maka di folder yang telah diatur tadi telah

terdapat hasil file/image yang sudah didekripsi

Obtain Protected Files

Dari menu File, dapat memilih Obtain Protected Files untuk menghindari

sistem operasi Windows dan file locks nya, sehingga memungkinkan untuk

menyalin file live registry. Jika pengguna memperbolehkan Windows untuk

mengingat passwordnya, informasi itu dapat disimpan dalam file registry.

1. Masuk ke Menu File → Obtain Protected Files…

13

2. Setelah itu atur lokasi penyimpanan file yang akan diperoleh dan opsinya,

disini menggunakan opsi Password recovery and all registry files,

kemudian klik OK

- Opsi Minimum files for login password recovery mengambil Pengguna

(Users), sistem, dan file SAM dimana bisa mendapatkan informasi akun

pengguna

- Opsi Password recovery and all registry files lebih komprehensif,

mengambil Pengguna (Users), Sistem, SAM, NTUSER.DAT, Default,

Security, Software, dan Userdiff file dimana bisa mendapatkan

informasi akun dan password yang mungkin ke file lain.

3. Tunggu hingga proses Obtaining selesai

14

4. Setelah selesai, maka dilokasi yang sudah diatur tadi akan terdapat file-file

hasil Obtaining tadi.

2. ACCESSDATA REGISTRY VIEWER

Melihat isi registry windows menggunakan AccessData Registry Viewer :

1. Buka Registry Viewer lalu pilih menu File → Open..

2. Buka file registry, disini menggunakan file registry yang telah diambil

dengan FTK Imager…

15

3. Setelah itu, akan tampil registry dari file tersebut. Registry Viewer dapat

melihat isi file registry yang biasanya tidak bisa dibuka oleh Registry Editor

Windows, mungkin karena di lock dsb. File registry yang digunakan dsini

adalah NTUSER.DAT, File NTUSER.DAT adalah file registry. Setiap

profil pengguna yang dibuat pada sistem operasi Windows memiliki file

NTUSER.DAT Sebuah profil pengguna berisi file pribadi dan pengaturan

preferensi yang spesifik untuk setiap pengguna . Misalnya, setiap profil

pengguna berisi folder Dokumen yang unik, Start Menu konfigurasi,

desktop properties dan riwayat browsing.

16

E. DAFTAR PUSTAKA

Capabilities FTK. (2016, June 23). Retrieved from Access Data:

http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk/capabilities

Forensic Toolkit (FTK). (2016, June 23). Retrieved from Access Data: http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk