Saling Berbagi Itu Indah

Tuesday, 8 August 2017

Analisis Barang Bukti File Raw Image menggunakan FTK Imager




Selamat datang kembali di blog ptibayusujatmoko, dalam postingan kali ini kita akan membahas mengenai analisis barang bukti file raw image berekstensi .dd dengan menggunakan program FTK Imager yang ada di OS Windows.
Pembahasan kali ini sebenarnya merupakan pembahasan dari soal UTS saya saat kuliah. Jadi kita diminta untuk menganalisis sebuah file image berekstensi .dd dan diminta untuk menjawab 4 pertanyaan yang ada. Jawaban dari keempat pertanyaan tersebut akan ditemukan jika sudah berhasil menganalisis file image berekstensi .dd tersebut.

  • Software FTK Imager dapat didownload Disini
  • File untuk dianalisis bernama BarangBukti.dd dapat di download Disini
  • Download sha256sum.exe untuk cek sha256 pakai CMD di Windows, Klik Disini

File raw image yang dimaksud adalah file bernama “BarangBukti.dd“. File ini akan coba dibuka dengan software FTK Imager. Mungkin saja akan ditemukan file-file yang telah dihapus, jika ini terjadi maka akan dibutuhkan proses recovery file. File - file yang sudah dihapus biasanya ditandai dengan tanda silang.

Soal - soal:
1.      In his conversation with juniorkeyy, how old does Larry initially say he is?
2.      What was the filename of the file that had the following SHA256 sum:
e56931935bc60ac4c994eabd89b003a7ae221d941f1b026b05a7947a48dc9366
3.      What is the SHA256sum of the photo from the “dd” image that shows Larry taking a bite out of a wireless router?
4.      What is the SHA256sum of the image that shows zombie Larry taking a bite out of a cat?


Langkah - langkah :

1. buka FTK Imager pilih tab File > Add Evidence Item... lalu setelah keluar kotak dialog pilih Image File setelah itu cari file image BarangBukti.dd maka akan tampil seperti gambar di bawah ini.

Klik gambar untuk memperbesar

2. Setelah file BarangBukti.dd berhasil dibuka dengan FTK Imager, expand folder file tersebut sampai ketemu folder [root] karena semua file bukti terdapat di file tersebut.

Klik gambar untuk memperbesar

Jawaban Soal :

1. In his conversation with juniorkeyy, how old does Larry initially say he is?

Diasumsikan jika disebut conversation, maka yang dicek adalah log dari percakapan yang ada yaitu chatlog. Cek file chatlog untuk mengetahui jawaban dari soal tersebut. Dimulai dari file chatlog1.txt. Ditemukan evidence sebagai berikut:

 Klik gambar untuk memperbesar
 
 Jawabannya adalah 4 tahun karena yang ditanyakan adalah “initially” yang berarti “pada awalnya”.

2.  What was the filename of the file that had the following SHA256 sum:
     e56931935bc60ac4c994eabd89b003a7ae221d941f1b026b05a7947a48dc9366


Hal pertama yang kita lakukan adalah meng-eksport file terdapat di dalam file BarangBukti.dd dan melakukan pengecekan sha256. File yang di-eksport adalah file yang sudah pernah terhapus atau bertanda silang.

 Klik gambar untuk memperbesar
 Klik gambar untuk memperbesar 

Setelah file berhasil dieksport, klik kanan untuk melakukan pengecekan sha256 pada setiap file yang dipilih, lalu pilih CRC SHA > SHA 256
Bisa juga dengan mengetikkan perintah di CMD. pertama tekan shift + klik kanan lalu pilih open command window here,  lalu ketikkan perintah sha256sum nama_file.jpg (hanya contoh). jangan lupa untuk meletakkan file sha256sum.exe di folder yang sama dengan tempat file barang bukti dieksport.

 


Klik gambar untuk memperbesar

Setelah di cek ternyata gambar dengan sha256sum tersebut adalah superstrand.jpg

Klik gambar untuk memperbesar


3. What is the SHA256sum of the photo from the “dd” image that shows Larry taking a bite out of a wireless router?

Cek satu per satu gambar JPG yang ada pada program FTK Imager, cari gambar Larry yang sedang menggigit sebuah wireless router.

 haxorthematrix-has-a-posse.jpg

 larryeatswrt.jpg

Ditemukan 2 file yaitu “haxorthematrix-has-a-posse.jpg” dan “larryeatswrt.jpg“ lalu kita check sha256 sum nya dengan menggunakan perintah dari CMD.

  

 Klik gambar untuk memperbesar
Jawabannya adalah :

haxorthematrix-has-a-posse.jpg :
e4e2fac9fc41546239d4e534bfe6588e4796f3799befc09b2787f5ad6c75faca 
larryeatswrt.jpg :
1bdfd9d7445d38fdb7ba5acbb58669cf31c7c568c7aa6e6fcf0c961628f4c32e  

4. What is the SHA256sum of the image that shows zombie Larry taking a bite out of a cat?
  
Langkah yang dilakukan sama dengan soal no 3. Cek satu per satu gambar JPG yang ada pada software FTK Imager, cari gambar Larry yang sedang menggigit seekor kucing.


 Larry_zombie_cat.jpg

Ditemukan satu file yaitu “Larry_zombie_cat.jpg“. lalu kita check sha256 sum nya dengan menggunakan perintah dari CMD.


 Klik gambar untuk memperbesar

Jawabannya adalah :

Larry_zombie_cat.jpg :
 9c0a8bc6c3baa2ad7f390ef4e41c3edf3d98a543f492afb50a4bab8700af5766


Semoga bermanfaat : )



Translate

Popular Posts

Tutorial Bootstrap

Tutorial Bootstrap
>>> Klik Gambar untuk Mendownload File Tutorial Bootstrap 3 dan 4.

Presentation Input - Output System

Presentation Input - Output System
>>> Klik Gambar untuk Mendownload File Microsoft PowerPoint.

Project Sederhana Basis Data

Project Sederhana Basis Data
>>> Klik Gambar untuk Mendownload File Microsoft Access.

QR Code Kartu Nama

QR Code Kartu Nama
Kode QR atau biasa dikenal dengan istilah QR Code adalah bentuk evolusi kode batang dari satu dimensi menjadi dua dimensi. QR merupakan singkatan dari quick response atau respons cepat, yang sesuai dengan tujuannya adalah untuk menyampaikan informasi dengan cepat dan mendapatkan respons yang cepat juga. Berbeda dengan kode batang, yang hanya menyimpan informasi secara horizontal, kode QR mampu menyimpan informasi secara horizontal dan vertikal, oleh karena itu secara otomatis Kode QR dapat menampung informasi yang lebih banyak daripada kode batang.
bayusujatmoko. Powered by Blogger.