Label

TOOLS FORENSIK DIGITAL

AUTOPSY DAN FTK IMAGER

1. AUTOPSY

A. APA ITU AUTOPSY?

    Tools Autopsy adalah aplikasi yang dapat mengetahui informasi-informasi tersembunyi dari suatu file, mulai dari kapan file itu dibuat, kapan file itu terakhir kali dirubah, kapan file terakhir kali di akses, kapan file itu di hapus, aplikasi ini menggunakan enskripsi apa, dan passwordnya apa. Autopsy Ini digunakan oleh penegak hukum, militer, dan pemeriksa perusahaan untuk menyelidiki apa yang terjadi di komputer.

b. KEGUNAAN DARI APLIKASI AUTOPSY

Dengan Aplikasi AUTOPSY kita dapat melakukan otopsi berbagai data, gadget atau komputer yang kita miliki untuk kepentingan forensic, seperti :

  1. Menemukan kembali file yang hilang
  2. Menemukan history email
  3. Menenukan daftar kontak yang sdh hilang
  4. Menemukan Catatan-catatan dan pesan yang sudah hilang dan berbagai keperluan forensic\k lainnya.
C. FITUR-FITUR AUTOPSY
  1. Multi-User Cases: Berkolaborasi dengan sesama penguji dalam kasus besar.
  2. Timeline Analysis: Menampilkan kejadian sistem dalam antarmuka grafis untuk membantu mengidentifikasi aktivitas.
  3. Ekstraksi String Unicode: Ekstrak senar dari ruang yang tidak terisi dan jenis file yang tidak dikenal dalam banyak bahasa (Arab, Cina, Jepang, dll.).
  4. Tag: Tag file dengan nama tag yang sewenang-wenang, seperti 'bookmark' atau 'curiga', dan tambahkan komentar.
  5. Keyword Search: Teks ekstraksi dan indeks dicari modul memungkinkan Anda untuk menemukan file yang menyebutkan istilah tertentu dan menemukan pola ekspresi reguler.
  6. Web Artifacts: Ekstrak aktivitas web dari browser umum untuk membantu mengidentifikasi aktivitas pengguna.
  7. Registry Analysis: Kegunaan  RegRipper Untuk mengidentifikasi dokumen dan perangkat USB yang baru diakses.
  8. Analisis File LNK: Mengidentifikasi jalan pintas dan dokumen yang mudah diakses
  9. Email Analysis:  MBOX Format pesan, seperti Thunderbird.
  10. EXIF: Ekstrak lokasi geografis dan informasi kamera dari file JPEG.
  11. Sortir Jenis File: Kelompokkan file menurut jenisnya untuk menemukan semua gambar atau dokumen.
  12. Pemutaran Media: Lihat video dan gambar dalam aplikasi dan tidak memerlukan penampil eksternal.
  13. Penampil Thumbnail: Menampilkan thumbnail gambar untuk membantu melihat gambar dengan cepat.
  14. Deteksi Tipe File berdasarkan tanda tangan dan deteksi ketidakcocokan ekstensi.
  15. Modul File yang Menarik akan menandai file dan folder berdasarkan nama dan path.
  16. Dukungan Android: Ekstrak data dari SMS, log panggilan, kontak, Tango, Words with Friends, dan banyak lagi.
D. CONTOH IMPLEMENTASINYA : 
Recovery data dari flashdisk menggunakan autopsy sebagai berikut :
1. pilih file yang ingin di dihapus seperti dibawah ini 


 2. Setelah itu buka autopsy lalu klik new case


3. silahkan isi nama case dan lokasi directory case setelah itu klik next


4. selanjutnya isi optional information Disini saya cuman mengisi case number,dan examiner name


5. Setelah dinext akan muncul seperti dibawah ini lalu select type data source digambar bawah ini memakai local disk pemilihan tergantung dari kebutuhan masing-masing jika sudah silahkan klik next


6. Silahkan klik select disk yang ingin dilakukan recovery data yang telah dilakukan pada tahap 1 jika sudah silahkan klik next


7. Diconfigure ingest modulsnya di ceklis semua setelah semua moduls diceklis silahkan klik next



8. Setelah itu tunggu proses jika muncul finish silahkan klik jika belum bisa di klik maka proses masih berlansung



9. Jika sudah selesai silahkan cek data sources > G: _1 Host > G: seperti dibawah ini



10. Jika ingin recovery data,klik kanan file yang ingin di recovery lalu pilih extract file


11. Pilih lokasi file extract dan  cek lokasi yang telah disimpan waktu pemilihan lokasi extract

Hasil recovery data flashdisk




2. FTK IMAGER

A. APA ITU FTK IMAGER?
    FTK Imager adalah sebuah tools untuk melakukan preview dan pembuatan image yang dapat kita gunakan untuk melakukan pengujian barang bukti digital. FTK imager juga dapat melakukan perfect copy (image forensik) tanpa merubah data atau metadata dari bukti aslinya.
    FTK Imager adalah alat sederhana namun ringkas. Ia Menyimpan images dari hard disk dalam satu file atau dalam segmen yang mungkin nanti direkonstruksi. Menghitung nilai hash MD5 dan memastikan integritas data sebelum menutup file. Hasilnya adalah sebuah file images yang dapat disimpan dalam beberapa format termasuk, DD raw.


B. CONTOH IMPLEMENTASINYA : 
Akusisi dan Imaging Menggunakan FTK Imager

a. Langkah awal untuk memulai proses imaging yaitu klik menu File, kemudian pilih Create Disk Image. Kemudian akan muncul dialog box yang baru. Pilih Physical Drive karena akan dilakukan imaging terhadap fisik dari flashdisk.



b. Kemudian klik Next, setelah itu pilih flashdisk yang digunakan. Pada kasus ini menggunakan SanDisk USB Device. Setelah itu klik Finish.


c. Setelah itu, klik Add untuk memilih lokasi hasil imaging. Jangan lupa untuk mencontreng pilihan Verify images after they are created.


d. Pilih Raw DD untuk format hasil imaging. Setelah itu isikan identitas barang bukti seperti gambar dibawah ini dan kemudian klik Next.


e. Kemudian pilih lokasi folder yang diinginkan dan buat nama file imaging. Lalu klik Finish.


f. Langkah terakhir, klik Start untuk memulai imaging. Dan gambar dibawah ini menunjukkan proses imaging sedang berlangsung.


g. Setelah proses imaging selesai, FTK akan memberikan laporan dan kode hash MD5 dan SHA1 flashdisk dan hasil akusisinya.


Label:

Komentar

Posting Komentar