KOMPUTER FORENSIK
S1 SISTEM KOMPUTER
UNIVERSITAS TELKOM
2018
ABSTRAK
BAB I .................................................................................................................................. 4
1. Latar Belakang Masalah ...................................................................................... 4
2. Rumusan Masalah ................................................................................................ 4
3. Tujuan .................................................................................................................... 4
BAB II ................................................................................................................................ 5
2.1. Prosedur Pemeriksaan........................................................................................... 5
2.1.1. Tools yang digunakan ........................................................................................... 5
2.1.2. Prosedur Pengerjaan.............................................................................................. 5
BAB III............................................................................................................................. 19
LAMPIRAN..................................................................................................................... 20
BAB I
PENDAHULUAN
2. Rumusan Masalah
3. Tujuan
• HxD 1.7.7.0
• Exiftool 10.90
• WinRAR 5.02
• Volatility 2.4
• Identifikasi awal
File Clue
File Readme
Dari beragam hasil analisa di atas, serta meninjau kepada clue yang
diberikan, diketahui bahwa pada komputer ENG alamat IP
172.16.223.47:20 adalah IP penyerang dan alamat IP 58.64.132.141
adalah IP korban dengan PID 1024, hal ini dikarenakan ketika
pemindaian berlangsung telah ditemukan kedua IP tersebut melakukan
interaksi dengan port 80 dan menggunakan PID 1024.
terkena serangan.
Dari beragam hasil analisa di atas, serta meninjau kepada clue yang
diberikan, diketahui bahwa pada komputer ENG dan FLD terdapat komunikasi
dengan alamat IP 58.64.132.141 melalui port 80 (HTTP) menggunakan PID 1024
pada komputer ENG dan 1032 pada komputer FLD. PID tersebut merupakan proses
yang terserang oleh backdoor.
LAMPIRAN
# Data Tools Tahap dilakukan Gambar/Bukti Output
Profile WinXPSP2x86,
WinXPSP3x86, ENG
memiliki IP 172.16.150.20
Membuka file memdump.bin ENG
dan melakukan koneksi
untuk mendapatkan IP
terhadap 58.64.132.141
melalui port 80 dengan PID
1024
7 Volatility
Profile WinXPSP2x86,
WinXPSP3x86, FLD
memiliki IP 172.16.223.187
Membuka file memdump.bin FLD
dan melakukan koneksi
untuk mendapatkan IP
terhadap 58.64.132.141
melalui port 80 dengan PID
1032
Profile Win2003SP2x86,
Membuka file memdump.bin IIS IIS memiliki IP
untuk mendapatkan IP 172.16.223.47 dan tidak ada
koneksi dengan port 80
Profile Win2003SP2x86,
Membuka file memdump.bin DC IIS memiliki IP
untuk mendapatkan IP 172.16.150.10 dan tidak ada
koneksi dengan port 80
File Symantec.exe
dieksekusi pukul 23:01:54
UTC dan secara bersamaan
Mencari tahu apakah terdapat file
8 Atom file virus 6to4ex.dll muncul,
Symantec-1.43-1.exe pada PC ENG
dapat disimpulkan jika
Symantec merupakan file
dropper.
Berdasarkan informasi yang didapat User AMIRS atau FLD
dari email terdapat email ada 3 mengunduh file dropper,
orang yang dikirimkan email sedangkan PC IIS dan DC
phising, selanjutnya dilakukan tidak mengundah file
pencarian PC yang mendownload tersebut. Dapat disimpulkan
file dropper (Symantec.exe) sementara jika PC FLD dan
tersebut ENG telah terserang
Mendapatkan folder
CALLB yang merupakan
Mencari username yang digunakan, user, SAM dan system yang
menggunakan command hivelist bisa digunakan untuk
mendapatkan hash nya
dengan virtual id nya.
Melakukan dump hash pada id
0xe1461008 dan 0xe1035b60 Dari file hash.txt didapatkan
dengan command hashdump -y user pada komputer ENG
0xe1035b60 -s 0xe1461008 > yaitu Administrator, dan
hash.txt lalu disimpan pada file sysbackup
hash.txt