DIGITAL FORENSIK

(OS FORENSICS)

DISUSUN OLEH KELOMPOK 4 :

 MUH RANDY MALLOMBASI 132019

 A. NOVA ANGGRAENI 152079
 ANGELUS KOLOMBUS 152427
 AWALUDDIN 122182
 ABD. MUHTADIR HAQ 152202
 RONAL SIDENREN 122116

JURUSAN TEKNIK INFORMATIKA

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN
KOMPUTER DIPANEGARA MAKASSAR
2016
 KATA PENGANTAR

Puji syukur kami panjatkan kehadirat Tuhan Yang Maha Esa karena dengan
rahmat, karunia, serta taufik dan hidayah-Nya kami dapat menyelesaikan makalah
tentang OS Forensik Sebagai contoh Berguna ini dengan baik meskipun banyak
kekurangan didalamnya. Dan juga kami berterima kasih pada Bapak erfan hasmin
selaku Dosen matakuliah pengantar forensik yang telah memberikan tugas ini
kepada kami.
Kami sangat berharap makalah ini dapat berguna dalam rangka menambah
wawasan kepada pembaca, dan juga bagaimana cara agar mempelajari OS Forensik
dapat di pahami. Kami juga menyadari sepenuhnya bahwa di dalam makalah ini
terdapat kekurangan dan jauh dari kata sempurna. Oleh sebab itu, kami berharap
dan kritik, saran dan usulan demi perbaikan makalah yang telah kami buat di masa
yang akan datang, mengingat tidak ada sesuatu yang sempurna tanpa saran yang
membangun.
Semoga makalah sederhana ini dapat dipahami bagi siapapun yang
membacanya. Sekiranya laporan yang telah disusun ini dapat berguna bagi kami
sendiri maupun orang yang membacanya. Sebelumnya kami mohon maaf apabila
terdapat kesalahan kata-kata yang kurang berkenan dan kami memohon kritik dan
saran yang membangun dari Anda demi perbaikan makalah ini di waktu yang akan
datang.

Makassar, Juni 2016

Penyusun
 OS FORENSIK

OS FORENSIK adalah aplikasi forensic untuk penempatan dan analisis

bukti digital yang ditemukan di system computer dan tempat penyimpanan digital.
Ada beberapa tool dalam OS Forensik yang dapat identifikasi material bukti digital
dalam beberapa detik.

Tampilan Interface program OS FORENSIK

FITUR OS FORENSIK

OSForensics berisi kumpulan modul untuk mencari, mengumpulkan,

menganalisis dan memulihkan artefak digital yang dapat digunakan sebagai bukti
hukum di pengadilan.

Fitur utama dari OSForensics diuraikan sebagai berikut:

a. Manajemen kasus
Modul ini digunakan untuk hasil agregat dari semua modul lain dalam satu
lokasi, Kasus, memungkinkan untuk analisis nanti temuan secara
keseluruhan dan pelaporan temuan
b. File Name Search
Modul ini untuk pencarian file, folder melalui nama file
c. Indexing
Indexing memungkinkan untuk teks lengkap mencari di dalam isi sebuah
file. Juga mampu mencari di dalam arsip email dan menarik teks dari sektor
disk yang tidak terisi.
d. Recent Activity
Modul ini memungkinkan penyidik untuk memindai sistem untuk bukti
aktifitas terbaru, seperti situs diakses, USB drive, jaringan nirkabel, dan
download terbaru.
e. Delete File Search
Mencari dan memulihkan file yang telah baru-baru ini dihapus dari hard
drive.
f. Mismatch Search
menemukan file yang memiliki ekstensi file yang berbeda dari apa isi dari
file menyarankan. Misalnya. Sebuah file .jpeg diubah namanya menjadi file
txt.
g. Memory Viewer
Penampil memori memungkinkan penyidik untuk mengumpulkan dan
menganalisis bukti digital dalam penyimpanan memori volatile.
h. Prefetch Viewer
Prefetch penampil menampilkan informasi yang disimpan oleh sistem
operasi Prefetcher, yang meliputi kapan dan seberapa sering aplikasi
dijalankan.
i. Raw Disk Viewer
Disk penampil baku menampilkan isi baku sektor-by-sektor disk. Data
tersembunyi di sektor luar sistem file dapat diidentifikasi dan dianalisis
dengan modul ini.
j. File System Browser
Sistem file browser yang menampilkan semua perangkat ditambahkan ke
kasus secara hirarkis, mirip dengan Windows Explorer. Tidak seperti
Explorer, informasi tambahan khusus untuk analisis forensik akan
ditampilkan.
k. SQLite Database Browser
Database SQLite Browser menampilkan isi dari file database SQLite
dengan cara yang terorganisasi, yang memungkinkan untuk kemudahan
navigasi dan mencari.
l. Web browser
menyediakan penampil web dasar dengan kemampuan forensik. Ini
termasuk kemampuan untuk menyimpan menangkap layar dari halaman
web dan menambahkannya ke kasus yang sedang dibuka.
m. Password Recovery
Memulihkan password dari berbagai sumber.

n. Verifikasi / Buat Hash

Buat hash (SHA1, MD5, CRC32) dari file atau seluruh hard disk.
1. CASE MANAGEMENT

Pada manajemen kasus dapat digunakan untuk membuat dan mengelola

kasus. Kasus digunakan untuk mengelompokkan temuan dari fungsi lainnya
dalam satu lokasi yang dapat diekspor atau disimpan untuk analisis nanti.
Sebuah kasus baru harus dibuat, atau kasus sebelumnya dimuat, sebelum ada
kemungkinan untuk menambahkan item ke kasus dari fungsi lain.

New Case
Mengklik tombol kasus baru akan memungkinkan Anda untuk
menghasilkan kasus kosong baru di mana untuk mengumpulkan data dalam.
Sebuah kasus harus memiliki nama, dan mungkin memiliki penyidik terkait
meskipun hal ini tidak diperlukan.
Secara default kasus yang dibuat seperti dalam folder OSForensics terletak di
folder My Documents pengguna. Pada penciptaan sub folder akan dibuat di
lokasi target yang akan berisi kasus, tidak ada kebutuhan untuk memilih folder
kosong.

Impor Case
Menambahkan kasus ke daftar folder kasus default

Load Case
Beban kasus yang saat ini dipilih dari daftar. Anda juga dapat cukup klik ganda
dalam daftar untuk melakukan tindakan yang sama.
 Delete Case
Menghapus kasus yang sedang dipilih. Pengguna diberikan pilihan untuk
backup data kasus ke lokasi yang ditentukan sebelum menghapus.

2. CASE MANAGER

Edit Case Details

Mengedit properti (nama misalnya., Penyidik, zona waktu, pilihan logging) dari
kasus tersebut.
Generate Report
Membuat laporan HTML dari isi kasus ini. Laporan ini ditata menggunakan
template, OSForensics memiliki sejumlah dibangun di template untuk memilih dari,
namun Anda juga dapat membuat template kustom Anda sendiri. Memilih
"Informasi tambahan" pilihan akan menampilkan lebih kolom dalam laporan
(SHA1 dan SHA256 hash, tanggal terkait untuk file dan email).
View Log
Jika penebangan diaktifkan untuk kasus ini, membuka penampil log untuk melihat
entri log.
Add Attachment
Menambahkan file generik dengan kasus sebagai lampiran.
Add Note
Menambahkan catatan untuk kasus sebagai file teks.
Add Device
Menambahkan perangkat penyimpanan untuk kasus untuk analisis.
Case Activity Log
Ketika melakukan penyelidikan forensik, penting untuk menjaga jejak audit
dari kegiatan yang tepat dilakukan selama investigasi untuk beberapa tujuan
termasuk yang berikut:
a. Pembekalan dari penyelidikan selesai
b. Audit kegiatan penyelidikan untuk menentukan apakah prosedur yang tepat
dan protokol diikuti
c. Mendidik dan mengevaluasi penyelidik dalam pelatihan
OSForensics memberikan pilihan untuk menentukan apakah kegiatan yang
dilakukan dalam kasus ini harus secara otomatis login ke file log tamper-resistant
pada disk, menghasilkan jejak semua kegiatan yang dilakukan selama penyelidikan.

Enable/Disable Logging
Logging dapat diaktifkan / dinonaktifkan saat membuat kasus untuk pertama
kalinya atau saat mengedit kasus yang sudah ada di jendela Manajemen Kasus

Viewing the Log

Setelah log diaktifkan, log dapat dilihat dengan mengklik tombol "Lihat Log" di
jendela kasus manajemen, serta "Lihat Log" ikon dalam kelompok "Manajemen
Kasus" di bawah tab Start.
 a. Major - Termasuk semua aktivitas utama yang berhubungan dengan kasus
itu sendiri, seperti ketika pertama kali diciptakan.
b. Minor - Termasuk mulai / selesai semua aktivitas forensik yang signifikan,
seperti nama file pencarian, pembuatan indeks, menghapus file pencarian,
dll
c. Info - Termasuk semua aktivitas forensik tambahan dilakukan, seperti
mengekspor hasil ke disk, menambahkan file kasus, dll
d. Detail - Termasuk rincian subtasks yang sedang dieksekusi secara internal
sementara operasi forensik besar sedang dilakukan.

3. FILE NAME SEARCH

File name service digunakan untuk mencari nama-nama file dan folder yang
cocok dengan pola pencarian tertentu.
4. INDEXING

Indexing memungkinkan Anda untuk mencari di dalam isi banyak file

sekaligus. Berbeda dengan modul pencarian lain yang hanya memeriksa nama
file dan kriteria permukaan lainnya, pengindeksan memungkinkan Anda untuk
melakukan pencarian jauh di dalam isi dokumen PDF, Word, E-mail, meta data
gambar dan banyak lagi.
Untuk melakukan ini, Anda harus terlebih dahulu membuat indeks untuk set
file yang ingin memeriksa. Ini adalah proses menyeluruh yang memindai dan
menganalisa file dan membangun indeks (menganggap itu sebagai versi yang
lebih canggih dari apa yang akan Anda temukan di bagian belakang buku), yang
kemudian dapat digunakan untuk melakukan pencarian di.

a. Create Index
Modul yang melakukan indeks generasi awal yang dibutuhkan untuk
pencarian berbasis indeks
b. Search index
Modul yang melakukan pencarian berbasis indeks menggunakan file indeks
yang dibuat melalui modul Buat Index.
Create Index

Dalam langkah ini Anda harus memilih jenis file yang ingin Anda indeks. Anda
dapat memilih antara satu set standar dari jenis file atau Anda dapat menentukan
opsi pengindeksan lebih maju melalui template. Secara umum, jenis file lebih yang
dipilih, lebih lama dan lebih memakan proses pengindeksan sumber daya akan
mengambil.
Pada langkah ini, Anda akan sebutkan mulai direktori mana OSForensics akan
memindai file ke indeks. Klik tombol 'Add' untuk menentukan lokasi awal yang
ingin Anda tambahkan ke dalam daftar:

Pada langkah ini, Anda akan perlu untuk memasukkan rincian untuk indeks ini akan
ditambahkan ke kasus ini. Jika Anda tidak memiliki kasus terbuka, Anda akan
diminta untuk membuat / membuka satu sebelum pindah ke langkah berikutnya.
Langkah ini memungkinkan Anda untuk menentukan judul dan catatan untuk
indeks Anda yang akan disimpan dalam kasus ini.
Selama tahap ini, OSForensics akan melakukan scan awal dari lokasi dan file yang
telah Anda tentukan untuk menetapkan batas untuk proses pengindeksan. Jika Anda
telah mengatur secara manual batas-batas ini dalam pilihan pengindeksan maju,
maka langkah ini akan dilewati. Kecuali kesalahan dalam langkah ini, akan segera
beralih ke tahap akhir di mana indeks dimulai.

Indeks ini sekarang sedang dibuat. Proses ini dapat mengambil waktu yang cukup
lama tergantung pada opsi yang dipilih. Untuk melihat log secara real-time saat
pengindeksan sedang dilakukan, klik 'Open Log ...' untuk memunculkan jendela log
seperti yang ditunjukkan di bawah ini.
Search Index
Modul Index Pencarian melakukan pencarian yang sebenarnya menggunakan
indeks yang dihasilkan melalui modul Buat Index. Berbeda dengan File Name
Search, isi dari file yang dicari (sebagai lawan hanya nama file) untuk kata-kata
pencarian yang ditentukan pengguna.
 Match
Pengguna dapat memilih apakah hasilnya akan cocok dengan kata-kata atau
semua kata-kata dalam string pencarian
Maximum Results
Menentukan jumlah maksimum hasil untuk menampilkan
Date Range
Jika 'Gunakan Rentang Tanggal' dicentang, memungkinkan pengguna untuk
menyaring hasil untuk menyertakan hanya file dalam rentang tanggal yang
ditentukan.
Email Search Options
Memungkinkan pengguna untuk menyaring hasil e-mail pencarian untuk
mereka yang cocok dengan 'Dari', 'To' dan bidang 'CC'

5. RECENT ACTIVITY
Modul scan sistem untuk bukti aktifitas terbaru, seperti situs diakses,
program yang diinstal, USB drive, jaringan nirkabel, dan download terbaru. Hal
ini sangat berguna untuk mengidentifikasi tren dan pola pengguna, dan materi
yang telah diakses baru-baru ini.

Scan untuk aktifitas terbaru dapat dimulai dengan hanya menekan tombol Scan.
Pengaturan berikut tersedia untuk pengguna
6. DELETE FILE SEARCH
Modul dapat digunakan untuk memulihkan file dihapus dari sistem file (file
yaitu. Dihapus tidak lagi di daur ulang bin). Hal ini sangat berguna untuk
memulihkan file yang pengguna mungkin telah berusaha untuk
menghancurkan.

7. MISMATCH FILE SEARCH

Modul dapat digunakan untuk mencari file yang isinya tidak cocok ekstensi file-
nya. Modul ini dapat mengungkap upaya untuk menyembunyikan file dengan
nama file palsu dan ekstensi dengan memverifikasi apakah format file yang
sebenarnya cocok format file yang diinginkan berdasarkan ekstensi file
8. MEMORY VIEWER
modul memungkinkan pengguna untuk melihat rincian memori dari semua
proses yang sedang berjalan pada sistem. Tidak seperti hard disk non-volatile
yang dapat dianalisis statis, isi memori (RAM) hanya dapat dianalisis
sedangkan sistem ini hidup. Selain itu, mungkin yang berpotensi melibatkan
bukti hanya ada di memori fisik sistem, tanpa jejak pada hard disk. Hal ini rumit
lebih lanjut jika data hanya ada di memori untuk jangka waktu singkat.

9. PREFETCH VIEWER
Modul Prefetch Viewer memungkinkan pengguna untuk melihat informasi
forensik berpotensi berharga disimpan oleh sistem operasi Prefetcher. The
Prefetcher adalah komponen yang meningkatkan kinerja sistem dengan aplikasi
pre-caching dan file terkait ke dalam RAM, mengurangi akses disk. Untuk
memfasilitasi hal ini, Prefetcher mengumpulkan aplikasi rincian penggunaan
seperti jumlah kali aplikasi telah dieksekusi, saat run terakhir, dan setiap file
yang menggunakan aplikasi saat berjalan. Dengan menggunakan informasi ini,
forensik peneliti dapat mengungkap pola penggunaan aplikasi tersangka
(misalnya. "Cleaner" perangkat lunak yang digunakan baru-baru ini) dan file
yang telah dibuka (misalnya. Dokumen).
10. RAW DISK VIEWER
modul memungkinkan pengguna untuk menganalisis sektor baku semua
perangkat ditambahkan ke kasus, bersama dengan semua disk fisik dan partisi
(termasuk gambar dipasang) yang melekat pada sistem. Modul ini menyediakan
kemampuan untuk melakukan pemeriksaan lebih dalam drive, mencari di luar
data yang disimpan dalam file sistem file dan direktori. Pertunjukan tingkat
analisis mungkin diperlukan jika informasi yang menarik diduga
disembunyikan dalam sektor baku drive, yang biasanya tidak dapat diakses
melalui mekanisme normal sistem operasi (misalnya. Cluster gratis, ruang file
slack).
11. REGISTRY VIEWER
OSForensics termasuk yang dibangun di penampil registry untuk menampilkan
isi dari file sarang registri dan memiliki pilihan untuk menyalin nama nilai, data
dan untuk mengekspor kunci registri dan sub kunci mereka ke file teks.

12. FILE SYSTEM BROWSER

File system browser memberikan pandangan explorer-seperti dari semua
perangkat yang telah ditambahkan untuk kasus ini. Tidak seperti windows
explorer, file system browser ini mampu menampilkan informasi forensik
khusus tambahan, serta memungkinkan analisis yang akan dilakukan dengan
menggunakan alat yang terintegrasi osforensics
13. SQLITE DATABASE BROWSER
modul Browser memungkinkan pengguna untuk menganalisis isi dari file
database SQLite.

14. WEB BROWSER

Modul Web Browser menyediakan penampil web dasar dari dalam
OSForensics. Modul ini menambahkan kemampuan untuk memuat halaman
web dari web dan menyimpan menangkap layar dari halaman web dengan kasus
dibuka saat ini.
15. RECOVERY PASSWORD

Find Browser Passwords

Mengambil password yang telah diingat oleh browser web pada sistem.
Windows Login Passwords
Mengambil password login dan hash untuk pengguna sistem. hash diambil
dapat digunakan bersama dengan tabel pelangi untuk menemukan
password.
Rainbow Tables
Menggunakan tabel pelangi untuk melakukan reverse lookup pada hash
password.

16. SYSTEM INFORMATION

Modul Sistem Informasi memungkinkan pengambilan informasi rinci tentang
komponen inti dari sistem. Modul ini dilengkapi dengan built-in daftar tes tes
yang dapat mengambil rincian inti tentang sistem seperti;
a. CPU, Motherboard and Memory
b. BIOS
c. Video card/Display devices
d. USB controllers and devices
e. Ports (Serial/Parallel)
f. Network adapters
g. Physical and Optical Drives
17. VERIFY / CREATE HASH

Verifikasi / Buat modul Hash digunakan untuk memverifikasi integritas file

dengan menghitung nilai hash-nya. Hal ini juga dapat digunakan untuk
membuat hash dari seluruh partisi atau disk drive fisik atau string teks
sederhana.

18. HASH SETS

Set hash memungkinkan penyidik untuk dengan cepat mengidentifikasi dikenal

file aman (seperti Sistem Operasi dan file program) atau dikenal diduga file
(seperti virus, trojan, script hacker) untuk mengurangi kebutuhan untuk analisis
memakan waktu lebih lanjut. Set hash digunakan dalam teknik analisis data
yang disebut Analisis hash, yang menggunakan MD5, SHA1 dan SHA256 hash
dari file untuk memverifikasi file pada perangkat penyimpanan. Sebuah hash
 unik mengidentifikasi isi dari file, terlepas dari nama file. Dengan kata lain,
setiap dua file dengan hash yang sama dikatakan sama. Sebuah koleksi nilai
hash ini membentuk satu set hash, yang dapat digunakan untuk mengurangi
waktu yang dibutuhkan untuk mencari media penyimpanan untuk file tertentu
yang menarik. Secara khusus, file yang dikenal aman atau terpercaya dapat
dihilangkan dari pencarian berkas. Hash set juga dapat digunakan untuk
mengidentifikasi keberadaan berbahaya, selundupan, atau file yang
memberatkan seperti software bajakan, pornografi, virus dan file bukti.

19. CREATE SIGNATURE

Module that handles all aspects of generating a signature.

20. COMPARE SIGNATURE

Modul yang memungkinkan pengguna untuk membandingkan tanda tangan
yang dihasilkan sebelumnya. Ringkasan dari setiap perubahan antara tanda
tangan akan ditampilkan kepada pengguna.
21. DRIVE PREPARATION
Modul ini menyediakan dua fitur yang berbeda. Pertama dapat menguji drive
untuk keandalan, berpotensi mengidentifikasi setiap drive rusak sebelum
mereka mulai digunakan aktif dalam penyelidikan. Kedua hal itu dapat
mengatur semua byte dari drive ke pola byte tertentu (dan memverifikasi pola
byte telah ditulis untuk seluruh drive), memastikan tidak ada kesempatan
kontaminasi data antara investigasi

22. DRIVE IMAGING

Fungsi disk imaging memungkinkan penyidik untuk membuat dan
mengembalikan file disk image, yang bitby-bit salinan dari partisi, disk fisik
atau volume. Disk imaging sangat penting dalam mengamankan salinan dari
perangkat penyimpanan, sehingga dapat digunakan untuk analisis forensik
tanpa risiko integritas data asli. Sebaliknya, file gambar dapat dikembalikan
kembali ke disk pada sistem.

Seorang penyidik forensik mungkin perlu berurusan dengan disk fisik yang
merupakan bagian dari konfigurasi RAID. Tanpa akses ke RAID controller
yang dibutuhkan untuk menciptakan array RAID, mungkin sulit untuk
merekonstruksi disk logis untuk analisis forensik. Mengingat satu set gambar
disk, OSForensics dapat membangun kembali citra logis berdasarkan parameter
 RAID yang ditentukan. parameter RAID dari software RAID dibuat di Linux
dan Windows dapat secara otomatis terdeteksi.

23. FORENSIC COPY

Salinan isi dari satu direktori ke yang lain mempertahankan cap waktu yang
sama seperti aslinya. Hal ini berguna untuk kasus-kasus di mana Anda mungkin
tidak ingin membuat image drive yang lengkap.
Log, selain pesan status umum juga akan menampilkan pesan kesalahan
tentang file yang gagal untuk menyalin. Alasan paling umum untuk kegagalan
adalah bahwa mereka dikunci oleh proses lain atau pengguna saat ini tidak
memiliki izin untuk mengaksesnya.
24. INSTALLING TO A USB DRIVE OR AN OPTICAL DISK
Hal ini memungkingkan untuk menginstal OSForensics ke USB drive atau CD
/ DVD / BD sehingga tidak diperlukan instalasi pada sistem tes. Hal ini dapat
berguna dalam sejumlah skenario, seperti analisis lapangan tanpa menginstal
OSForensics pada sistem tes.

Ketika OSForensics adalah dijalankan dari removable drive ketika diinstal

dengan cara ini, direktori default untuk file pengguna adalah direktori
OSForensics, bukan direktori default normal direktori Dokumen pengguna.

Proses Instalasi OSForensics ke drive USB

Proses instalasi ini dapat dilakukan untuk instalasi USB drive (drive ditulis)
menggunakan menu option "Install untuk USB".
Dari Jendela "Install OSForensics ke USB drive", Anda perlu menentukan:

1. USB drive dan direktori Anda ingin menginstal OSForensics untuk.

Misalnya, "F: \ OSForensics". OSForensics akan membuat direktori jika tidak
ada.
2. Jenis instalasi. Jika Anda memiliki kunci lisensi, kemudian pilih Izin, jika
tidak pilih Evaluasi untuk masa percobaan.
3. Jika Anda memilih "Izin" jenis instalasi, kemudian masukkan Username /
Key;
Pilih seluruh kunci, termasuk ----- START_OF_KEY ----- dan -----
END_OF_KEY -----
 Copy dan paste kunci ini ke username dan field kunci.
Ketika Anda pilih install, OSForensics akan membuat direktori pada USB drive
(misalnya F: \ OSForensics), menyalin semua file dari direktori OSForensics
(misalnya C: \ Program Files \ OSForensics) ke drive USB (misalnya F: \
OSForensics) dan menginstal informasi lisensi ke drive USB.

25. LICENSE KEYS

Setelah membeli perangkat lunak kunci lisensi dikirimkan melalui E-mail.
kunci lisensi ini harus dimasukkan ke dalam perangkat lunak OSForensics.
Jendela registrasi baik dapat diakses bentuk jendela diterima dengan mengklik
"Upgrade ke versi Professional" atau menggunakan "Daftar" tombol pada side
bar navigasi.
Ketika memasuki kunci lisensi, copy dan paste kunci lisensi dari E-mail.
Melakukan copy dan paste akan menghindari kemungkinan kesalahan
pengetikan.

Find your license key

Setelah Anda telah menempatkan pesanan Anda akan menerima e-mail yang
berisi rincian tentang pesanan Anda, nama pengguna dan kunci lisensi Anda.
Seharusnya terlihat seperti ini:
26. ABOUT