Anda di halaman 1dari 11

Nama : Solihin Santoso

NPM : 1519240009

MELACAK AKTIVITAS PENGGUNA

Selama penyelidikan forensik, kita akan menghabiskan sebagian besar waktu kita untuk
merekonstruksi dan melacak tindakan yang telah diambil oleh tersangka. Ini dapat mencakup
halaman web yang dicurigai dikunjungi, dokumen yang dibuatnya, dan data lain yang mungkin
telah dia modifikasi.

1. Microsoft Office Forensik

Sejak perilisan Office 97, Microsoft Office telah terkenal karena menyimpan banyak
informasi sensitif tentang siapa yang menulis dokumen tersebut. Misalnya, jika kita cukup
beruntung untuk bekerja dengan dokumen yang dimodifikasi dengan Pelacakan Perubahan
yang diaktifkan, kita dapat menarik banyak data keluar dari dokumen. File tsb menyimpan
siapa yang membuat modifikasi dan semua konten yang pernah dimasukkan dalam
dokumen, bahkan jika itu dihapus, ditambah informasi tentang nama file dan kepada siapa
dokumen itu diemail. Ini bisa sangat berguna dalam proses menciptakan kembali garis
waktu.

NOTE: Microsoft telah merilis utilitas bernama rdhtool.exe untuk Office 2003 yang mengupas
dokumen Office dari semua metadata ini. Jika kita menemukan dokumen yang tidak memiliki
metadata sama sekali, alat ini mungkin telah digunakan untuk menutupi jejak seseorang
atau sebagai praktik. Ambil informasi ini dalam konteks dan buat catatan tentang kelalaian
dalam laporan kita

.
1.1.Email Review

Ketika kita mengirim dokumen Office untuk ditinjau di Outlook, beberapa tag properti
kustom ditempatkan ke metadata file. Kami menunjukkan lima yang paling penting dari
tag ini di tabel berikut

Tag Name Format of Tag Description


_TentativeReviewCycleID Number ID unik dari revisi dokumen.
_ReviewCycleID Number Sering sama dengan
_TentativeReviewCycleID, dan
juga mengandung ID unik.
_EmailSubject Text Subyek pesan email di mana
dokumen itu dikirim
_AuthorEmail Text Alamat email dari orang yang
mengirim.
_AuthorEmailDisplayName Text Nama tampilan (yang muncul di
Outlook) untuk alamat email.

1.2.Memulihkan Informasi yang di undo


Jika dokumen Word disimpan dengan Quick Save dihidupkan, kita dapat
mengekstrak informasi batalkan dari dokumen. Dengan fitur Simpan Otomatis Office,
penghematan dapat menjadi mengalihkan perhatian dan menghabiskan waktu saat Kita
bekerja. Jadi Quick Save dibuat untuk menyimpan dokumen dengan cepat dan tanpa
rasa sakit dengan gangguan minimum kepada pengguna. Ia melakukan ini dengan tidak
membuat perubahan pada body dokumen; alih-alih, itu menambahkan perubahan, dan
informasi tentang di mana perubahan muncul pada akhir dokumen. Setelah ukuran file
tertentu terlampaui, simpan kembali, menggabungkan semua perubahan ke dalam body
utama dokumen, dan mengecilkan ukuran file kembali ke bawah. Dari sudut pandang
investigasi forensik, ini bisa menjadi hal yang hebat karena data yang menurut
pengguna dihapus sebenarnya masih ada dalam dokumen. Dapat dilihat dengan
beberapa aplikasi seperti Xemacs atau EnCASE.
1.3.Nama File Lampau
Dokumen Older Office (pre-Office 2003) sebenarnya menyimpan setiap nama file yang
pernah disimpan di dalam file. Ini bisa sangat berguna jika kita mencari direktori untuk
pergi setelah atau drive jaringan yang mungkin telah digunakan, atau jika kita perlu
memanggil media yang dapat dilepas untuk melakukan penyelidikan lebih lanjut. Kunci
untuk teknik ini adalah bahwa nama file disimpan dalam Unicode bukan ASCII lurus, jadi
kita perlu menggunakan aplikasi seperti strings.exe dari Systernals untuk mengekstrak
file. Menjalankan string.exe dengan argumen -u hanya akan mengeluarkan string teks
Unicode dari dokumen.

1.4.Bekerja dengan dokumen Office


Ketika kita bekerja dengan dokumen Office, ingatlah untuk menjadi kreatif dan selalu
melihat melampaui apa yang kita lihat ketika kita membuka dokumen. Kita dapat menarik
banyak informasi dari dokumen-dokumen ini jika kita tahu di mana mencarinya. Satu
peringatan, bagaimanapun, adalah bahwa data itu tidak otoritatif dengan sendirinya. Jika
kita mendasarkan kasus pengadilan kita hanya pada data ini, Kita akan memiliki waktu
yang buruk. Gunakan informasi ini untuk menguatkan bukti yang Kita peroleh dari
sumber lain atau untuk mengembangkan prospek baru yang dapat kita ikuti.

2. Melacak Penggunaan Web


Sebagai penyidik, kita akan sering menemukan diri kita merekonstruksi aktivitas web
pengguna. Beruntung bagi kita, sepertinya semua orang yang memutuskan untuk menulis
alat forensik menulisnya dengan cara yang membaca cookie dan riwayat browser.
Pertama, Kita harus melihat situs apa yang dikunjungi pengguna saat menggunakan
browser. Informasi ini dapat diperoleh dari file riwayat, yang menyimpan informasi di setiap
URL yang dimuat oleh pengguna, akan kembali berbulan-bulan. Bahkan jika seorang
pengguna telah mencoba menutupi jejaknya dengan menghapus riwayat, itu mungkin
masih dapat dipulihkan dan berguna dalam penyelidikan. Setelah kita memiliki URL yang
ia kunjungi, Kita perlu cara untuk mengetahui apa yang dia lakukan ketika dia ada di sana.
Secara konvensional, Kita dapat melakukan ini menggunakan dua metode: dengan melihat
cookie untuk situs untuk menentukan perilaku pengguna atau dengan merekonstruksi
halaman web dari file Internet sementara.
2.1. Internet Explorer Forensik

2.1.1. Melihat Histori


Utilitas histori di IE, menciptakan jejak audit yang mudah untuk apa yang suka
dilakukan pengguna di Internet. Ini dapat digunakan untuk menunjukkan apakah
pengguna sering mengunjungi situs jenis tertentu, jika ia mendarat di situs secara
tidak sengaja, dan apa yang dilakukannya saat mengunjungi situs. Informasi ini
berguna dalam segala hal, mulai dari kasus pelanggaran kebijakan sampai
dengan kegiatan kriminal.
Nama File Deskripsi
C:\User\<user>\Cookies\index.dat Jejak audit untuk cookie yang diinstal
pada sistem. Berguna dalam
menemukan cookie yang sengaja salah
diartikan dan dikaburkan.
C:\User\<user>\Local Settings\ Sejarah untuk hari kalender terakhir yang
History\History.IE5\index.dat digunakan browser. File yang lebih dari
satu hari dimasukkan ke dalam folder
terpisah
C:\User\<user>\Local Di mana data riwayat bergulir setelah
Settings\History\History.IE5\ berakhir dari index.dat di atas. Setiap
MSHistXXXXXXXXXXX\ instalasi akan memiliki beberapa direktori
index.dat ini, menunjukkan kemarin, minggu lalu,
dua minggu yang lalu, bulan lalu, dan
seterusnya.
C:\User\<user>\Local Settings\ Jejak audit untuk mendukung file seperti
Temporary Internet Files\ gambar dan termasuk di situs Web. Lihat
Content.IE5\index.dat di sini untuk membantu merekonstruksi
dokumen.
C:\User\<user>\UserData\index.dat File yang menyimpan informasi otomatis
tentang Windows akses ke internet,
seperti window update dan utilitas
lainnya.

2.1.2. Menemukan Informasi didalam cookies


Cookie telah menjadi cara utama bagi situs Web untuk menyimpan
informasi pelacakan tentang penggunanya. Setiap kali kita secara otomatis
masuk ke sebuah situs, itu mengingat kita dan cookie yang terlibat. Cookie adalah
file teks kecil yang ditandai dengan data khusus yang berkaitan dengan situs Web
tertentu. Informasi yang disimpan dalam cookie ini dapat sangat berharga bagi
forensik. Hal pertama yang kita ingin lakukan adalah menyelidiki file sejarah di
direktori C: \ Documents and Settings \ <username> \ Cookies \. File ini identik
dalam struktur ke file index.dat utama, tetapi alih-alih URL, itu menyimpan sejarah
cookie. Berikut ini adalah serangkaian contoh keluaran:

Cookie tidak lebih dari struktur data dengan serangkaian nama variabel dan nilai-
nilai. Namun, beberapa bidang metadata menarik dan perlu penjelasan, seperti
ditunjukkan dalam tabel berikut:
Field Name Description
SITE Nama dan URL dari cookies website
VARIABLE Nama dari variable yang disimpan cookie
VALUE Nilai yang disimpan dalam variable
CREATION TIME Waktu cookie dibuat, kapan website diakses
EXPIRE TIME Kapan data didalam cookies expire, jika
website membrikan cookies data expire.
FLAGS Menyebutkan tanda yang ditetapkan untuk
setiap variabel dalam cookie; untuk daftar
lengkap dari tanda, lihat RFC pada cookie
2.1.3. Rekonstruksi Kegiatan dari Cache
Untuk mempercepat penelusuran Internet, IE menyimpan sebagian besar
halaman yang kita kunjungi di hard drive kita jika kita ingin kembali. Baik untuk
pemeriksa forensik, buruk bagi tersangka dengan sesuatu yang disembunyikan.
Jika kita dapat menavigasi labirin yang merupakan struktur cache, kita dapat
membuat ulang halaman yang dilihat dan berinteraksi oleh pengguna, termasuk
data formulirnya.
Proses untuk menemukan sesuatu di cache identik dengan proses untuk
menemukan hal-hal dalam sejarah. Ubah index.dat ke format yang dapat dibaca,
potong dan potong dadu untuk menemukan file yang penting untuk penyelidikan,
dan kemudian gunakan bidang FILE dan DIRECTORY untuk mencari file itu
sendiri. Kali ini, direktori yang kita pedulikan adalah C: \ Documents and Settings
\ <Nama Pengguna> \ Pengaturan Lokal \ Temporary Internet Files \ Content.IE5
\.

2.2. Forensik Mozilla/Firefox

2.2.1. Melihat Histori


Beberapa opsi gratis tersedia untuk melihat sejarah, tetapi yang paling kami
sukai adalah Red Cliff Web Historian. Ini akan mengekstrak data riwayat dan
memasukkannya ke dalam plaintext atau HTML. Jika kita sedang melakukan
penyelidikan dan harus melihat secara forensik pada file riwayat, kita mungkin
juga ingin memeriksa alat yang disebut NetAnalysis, yang akan kami gunakan
dalam studi kasus, untuk melakukan pencarian. Untuk menjadi terbiasa dengan
format, bagaimanapun, mari kita lihat output dari salah satu alat ini. Lokasi file
riwayat akan bervariasi berdasarkan sistem operasi. Di Windows, file terletak di
C: \ Documents and Settings \ <user> \ Application Data \ Firefox \ Profiles \
<nama profil> \ history.dat, dan untuk UNIX / Linux ada di ~ / .Firefox / Profiles /
< nama profil> /history.dat. Sekarang setelah Anda tahu di mana mencarinya,
mari kita lihat apa yang kita dapatkan:
Seperti yang Anda lihat, tiga kolom data disajikan. Kolom pertama adalah waktu
akses terakhir dalam mikrodetik. Kolom berikutnya menunjukkan berapa kali
URL telah diakses. Ini dapat berguna dalam menunjukkan bahwa pengguna
tidak hanya secara tidak sengaja berakhir di situs Web dan sebenarnya adalah
pengunjung berulang. Kolom ketiga adalah URL yang diakses oleh permintaan.

2.2.2. Menemukan Informasi dalam Cookies


Apa kekurangan Firefox dalam format file sejarah yang dibuat dengan cookie.
Semua cookie klien disimpan dalam file pusat, cookies.txt, yang ada di direktori
profil. Jika Anda membukanya, Anda akan melihat bahwa file ini dapat dibaca
manusia dan tidak ada alat khusus yang diperlukan untuk melihatnya. Mari lihat
beberapa baris file:

2.2.3. Rekonstruksi Kegiatan dari Cache


Cache penjelajahan di Firefox sebenarnya merupakan proses yang mudah. Jika
Anda bisa mendapatkan direktori cache di profil, Anda dapat menggunakan
Firefox untuk menavigasi. Pastikan bahwa Anda membuat cache read-only dan
Anda benar-benar memiliki segalanya sebelum dan sesudah melakukan hal ini,
karena Anda akan mengakses data dengan alat non-forensik. Itu dikatakan,
jalankan Firefox dengan profil tersangka. Kemudian, di browser bar, masukkan
URL about: cache

2.2.4. Tips untuk bekerja menggunakan Firefox


Firefox jauh lebih mudah digunakan saat penyelidikan daripada Internet
Explorer. Firefox tidak seperti IE yang lokasi filenya relatif sama dari satu sistem
operasi dengan sistem operasi lainnya. Dalam upaya untuk memecahkan
riwayat kode file, anda dapat membeli alat yang berguna untuk hal ini. Beberapa
sumber daya yang baik pada format MORK sudah tersedia, sumber daya ini
dapat digunakan untuk pengetahuan anda sebelum menggunakan alat grafik.

2.3. OPERATING SYSTEM USER LOGS

Sistem operasi pada komputer juga bisa menjadi alat yang efektif dalam
merekonstruksi kegiatan pengguna. Sementara kita membahas beberapa di antaranya
secara mendalam di Bab 6, 7, dan 8, Anda harus memberi perhatian khusus pada log
UserAssist yang disimpan di Windows 2000, XP, dan Vista. UserAssist dapat sangat
berharga dalam proses pembuatan timeline.

2.3.1. UserAssist
UserAssist adalah alat pemantauan yang melacak aktivitas pengguna : apa saja
program yang diakses pengguna, program yang di klik, dan aktivitas lainnya. Kunci
UserAssist juga mencatat tindakanm serta tanggal dan waktu terakhir program
dijalankan oleh pengguna. Ini pertama kali diimplementasikan dalam sistem operasi
Windows 2000.

Sebagian besar pengguna komputer biasa bahkan tidak menyadari bahwa


UserAssist sedang berjalan. Karena UserAssist dienkripsi dengan ROT13, rata-rata
pengguna bahkan tidak akan tahu kunci UserAssist jika mereka melihatnya. ROT13
adalah cipher substitusi (Juga dikenal sebagai sandi Caesar); itu hanya mengganti huruf
dengan huruf lain 13 tempat menyusuri alfabet. Sementara seseorang dapat dengan
mudah mengetahui cara menghapus riwayat internet mereka, tidak pernah terjadi pada
mereka untuk menonaktifkan fitur UserAssist atau menghapus entri dari kunci
UserAssist; sehingga log UserAssist biasanya tetap tak tersentuh dan menyediakan
riwayat aktivitas pengguna. UserAssist ditemukan di bawah kunci registri berikut dalam
file NTUSER.DAT:
Kunci UserAssist terdiri dari dua subkunci. Salah satu kuncinya adalah untuk
Desktop Aktif dan lainnya adalah untuk toolbar Internet. Jika sistem yang dimaksud
menggunakan Internet Explorer 7.0 terinstal, Anda akan melihat subkunci ketiga. Seperti
yang dapat Anda lihat pada Gambar diatas, masing-masing subkunci UserAssist berisi
Count subkunci yang berisi sejumlah besar informasi. Gambar dibawah
mengilustrasikan bagaimana salah satu kunci ini muncul ketika Editor Registri
digunakan untuk melihatnya.

Karena Windows menggunakan ROT13 untuk mengenkripsi data, entri-entri yang


ada di Count subkunci tampaknya omong kosong. Namun, beberapa utilitas dapat
digunakan untuk mendekripsi mereka. Salah satunya adalah utilitas UserAssist Didier
Stevens, yang gratis dan tersedia untuk diunduh dari situs Web-nya di
http://blog.didierstevens.com/programs/userassist/). Gambar dibawah menunjukkan
data UserAssist didekripsi. Banyak entri yang didekripsi mengandung satu dari tiga tag:
RUNPATH, RUNPIDL, dan RUNCPL. Banyak tag lainnya muncul juga, tetapi ketiganya
akan sangat menarik bagi Anda sebagai pemeriksa forensik. RUNPATH terhubung
ketika pengguna mengklik dua kali ikon untuk aplikasi (seperti kata). RUNPIDL terkait
dengan akses pintas atau .Ink Files. Perubahan terakhir / waktu diperbarui setiap kali
pengguna melakukan tindakan tertentu. RUNCPL dikaitkan dengan eksekusi applet
Control Panel, seperti Tambah / Hapus Program.

Penganalisisan Registri Paraben juga mendekripsi data ROT13. Ini menunjukkan


keduanya data mentah (ROT13) dan data dekripsi, seperti yang diilustrasikan pada
Gambar dibawah. Menggunakan ROT13 dekripsi, kita dapat melihat, misalnya, bahwa
ketika HRZR_EHACNGU: NRKE.yax didekripsi, sebenarnya adalah
UEME_RUNPATH: AEXR.lnk.

catatan :

Microsoft telah menghapus beberapa entri UserAssist dalam peluncuran Vista


yang ada di XP. Bergantung pada aktivitas pengguna apa yang Anda cari, itu dapat
dicatat tetapi bisa muncul dengan tag yang berbeda, entri mungkin tidak berisi informasi
spesifik yang sama yang ditemukan di XP, atau mungkin tidak dicatat sama sekali. Anda
harus memverifikasi apakah Anda memeriksa komputer yang telah diupgrade dari XP
ke Vista. Jika itu masalahnya, Anda mungkin melihat entri UserAssist XP lama serta
entri Vista, jadi penting untuk memberi perhatian khusus saat meninjau kunci registri
UserAssist.

2.3.2. Tips untuk UserAssist

Seperti yang Anda lihat, UserAssist berisi banyak informasi yang berguna. Ini
dapat membantu Anda menemukan artefak baru dari aktivitas pengguna atau untuk
mendukung bukti lain dari aktivitas pengguna yang mungkin Anda miliki sudah
ditemukan sebelumnya.

Catatan :

Untuk informasi lebih lanjut tentang UserAssist, baca “ROT13 is used in


Windows? You’re joking!” Di www .net-security.org / dl / insecure / INSECURE-Mag-
10.pdf dan di blog Didier Steven di http: // blog .didierstevens.com. Selain itu, banyak
alat forensik dapat digunakan untuk melihat atau mencari ROT13.