Selamat datang kembali di blog ptibayusujatmoko, dalam postingan kali ini kita akan membahas mengenai analisis barang bukti file raw image berekstensi .dd dengan menggunakan program FTK Imager yang ada di OS Windows.
Pembahasan kali ini sebenarnya merupakan pembahasan dari soal UTS saya saat kuliah. Jadi kita diminta untuk menganalisis sebuah file image berekstensi .dd dan diminta untuk menjawab 4 pertanyaan yang ada. Jawaban dari keempat pertanyaan tersebut akan ditemukan jika sudah berhasil menganalisis file image berekstensi .dd tersebut.
- Software FTK Imager dapat didownload Disini
- File untuk dianalisis bernama BarangBukti.dd dapat di download Disini
- Download sha256sum.exe untuk cek sha256 pakai CMD di Windows, Klik Disini
File raw image yang dimaksud adalah file bernama “BarangBukti.dd“.
File ini akan coba dibuka dengan software FTK Imager. Mungkin saja akan ditemukan file-file yang telah dihapus, jika ini terjadi maka akan dibutuhkan proses recovery file. File - file yang sudah dihapus biasanya ditandai dengan tanda silang.
Soal - soal:
1. In his conversation with juniorkeyy,
how old does Larry initially say he is?
2. What was the filename of the file
that had the following SHA256 sum:
e56931935bc60ac4c994eabd89b003a7ae221d941f1b026b05a7947a48dc9366
3. What is the SHA256sum of the photo
from the “dd” image that shows Larry taking a bite out of a wireless router?
4. What is the SHA256sum of the image
that shows zombie Larry taking a bite out of a cat?
Langkah - langkah :
1. buka FTK Imager pilih tab File > Add Evidence Item... lalu setelah keluar kotak dialog pilih Image File setelah itu cari file image BarangBukti.dd maka akan tampil seperti gambar di bawah ini.
Klik gambar untuk memperbesar
2. Setelah file BarangBukti.dd berhasil dibuka dengan FTK Imager, expand folder file tersebut sampai ketemu folder [root] karena semua file bukti terdapat di file tersebut.
Klik gambar untuk memperbesar
Jawaban Soal :
1. In his conversation with juniorkeyy,
how old does Larry initially say he is?
Diasumsikan jika disebut conversation, maka yang dicek adalah log dari percakapan yang ada yaitu chatlog. Cek file chatlog untuk mengetahui jawaban dari soal tersebut. Dimulai dari file chatlog1.txt. Ditemukan evidence sebagai berikut:
Klik gambar untuk memperbesar
Jawabannya adalah
4 tahun karena yang ditanyakan adalah “
initially” yang berarti “pada awalnya”.
2.
What was the filename of the file
that had the following SHA256 sum:
e56931935bc60ac4c994eabd89b003a7ae221d941f1b026b05a7947a48dc9366
Hal pertama yang kita lakukan adalah meng-eksport file terdapat di dalam file BarangBukti.dd dan melakukan pengecekan sha256. File yang di-eksport adalah file yang sudah pernah terhapus atau bertanda silang.
Klik gambar untuk memperbesar
Klik gambar untuk memperbesar
Setelah file berhasil dieksport, klik kanan untuk melakukan pengecekan sha256 pada setiap file yang dipilih, lalu pilih CRC SHA > SHA 256
Bisa juga dengan mengetikkan perintah di CMD. pertama tekan shift + klik kanan lalu pilih open command window here, lalu ketikkan perintah sha256sum nama_file.jpg (hanya contoh). jangan lupa untuk meletakkan file sha256sum.exe di folder yang sama dengan tempat file barang bukti dieksport.
Klik gambar untuk memperbesar
Setelah di cek ternyata gambar dengan sha256sum tersebut adalah superstrand.jpg
Klik gambar untuk memperbesar
3. What is the SHA256sum of the photo
from the “dd” image that shows Larry taking a bite out of a wireless router?
Cek satu per satu gambar JPG yang ada pada program FTK Imager, cari gambar Larry yang sedang menggigit sebuah wireless router.
haxorthematrix-has-a-posse.jpg
larryeatswrt.jpg
Ditemukan 2 file yaitu “haxorthematrix-has-a-posse.jpg” dan “larryeatswrt.jpg“ lalu kita check sha256 sum nya dengan menggunakan perintah dari CMD.
Klik gambar untuk memperbesar
Jawabannya adalah :
haxorthematrix-has-a-posse.jpg :
e4e2fac9fc41546239d4e534bfe6588e4796f3799befc09b2787f5ad6c75faca
larryeatswrt.jpg :
1bdfd9d7445d38fdb7ba5acbb58669cf31c7c568c7aa6e6fcf0c961628f4c32e
4. What is the SHA256sum of the image
that shows zombie Larry taking a bite out of a cat?
Langkah yang dilakukan sama dengan soal no 3. Cek satu per satu gambar JPG yang
ada pada software FTK Imager, cari gambar Larry yang sedang menggigit seekor
kucing.
Larry_zombie_cat.jpg
Ditemukan satu file yaitu “Larry_zombie_cat.jpg“. lalu kita check sha256 sum nya dengan menggunakan perintah dari CMD.
Klik gambar untuk memperbesar
Jawabannya adalah :
Larry_zombie_cat.jpg
:
9c0a8bc6c3baa2ad7f390ef4e41c3edf3d98a543f492afb50a4bab8700af5766
Semoga bermanfaat : )