OSFORENSICS

1. Overview OSForensics
OSForensics adalah perangkat lunak serbaguna atau komputer forensik suite
lengkap yang dibuat oleh PassMarkSoftware. OSForensics memungkinkan Anda
mengekstrak bukti forensik dari komputer cepat dengan mencari file yang kinerja
tinggi dan kemampuan pengindeksan cepat. Pengguna dapat mengidentifikasi file
yang mencurigakan dan aktivitas dengan pencocokan hash, mendorong
perbandingan tanda tangan, e-mail, memori dan data biner. OSForensics
memungkinkan pengguna untuk mengelola investigasi digital mereka dan
membuat laporan dari data forensik yang dikumpulkan.
Tidak seperti banyak program komputer forensik lainnya, OSForensics termasuk
kemampuan imaging, penampil registry, seorang kolektor memori RAM,
peramban file sistem dan banyak fitur lainnya, semua dalam satu alat. OSForensic
juga dapat diinstal dan berlari dalam kapasitas penuh dari USB thumbdrive.
OSForensics datang dalam dua jenis lisensi: versi gratis dan versi Professional.
Versi gratis adalah fitur terbatas.
Beberapa fitur termasuk: Browse VSC ini, Recoverfile dihapus, data mengukir,
Indexing, Sistem File Browser, FileViewer, Email Viewer, RawDiskViewer, Web
Browser, Lihat .ese DB SQLite Browser, Gambar drive, Gunung Gambar,
Kegiatan Terbaru , PrefetchViewer, Event Log Viewer, RegistryViewer,
passwordExtractor, CustomHashSets Manajemen Kasus, Sistem Informasi,
Gambar HPA / DCO, Laporan HTML, RebuildArray RAID, ThumbcacheViewer,
TimelineViewer, RAM Gambar, MemoryViewerSignatureSnapshots, Signature
perbandingan, Forensik Copier, Install untuk USB.
OSForensics Bersertifikat Pemeriksa (OCE) - Perusahaan ini menawarkan kursus
pelatihan online untuk mempersiapkan siswa untuk mengambil dan lulus tes
OSForensics sertifikasi untuk mencapai OSForensics Bersertifikat Pemeriksa
(OCE) penunjukan.
PassMark® SoftwarePty Ltd adalah grup pengembangan perangkat lunak milik
pribadi dengan kantor pusat di Sydney, Australia dan kantor cabang di California,
Amerika Serikat.
PassMark mengkhususkan diri dalam pengembangan solusi kinerja benchmarking
kualitas tinggi serta memberikan jasa konsultasi TI independen ahli untuk klien
mulai dari organisasi pemerintah untuk kelas berat IT besar. PassMarkSoftware
adalah otoritas terkemuka dalam perangkat lunak dan perangkat keras
benchmarking kinerja dan pengujian.
Sejak awal mereka pada tahun 1998, PassMarkSoftware telah mengembangkan
berbagai komprehensif patokan dan diagnostik solusi PC yang digunakan di
seluruh dunia oleh ratusan ribu pengguna. Mereka telah mengalami pertumbuhan
yang konsisten dalam penjualan sejak peluncuran produk pertama mereka di bulan
Mei 1999.
Kakak mereka perusahaan, Wrensoft , telah mengembangkan sebuah perusahaan
mesin pencari kuat yang dikenal sebagai Zoom SearchEngine untuk digunakan
pada situs web perusahaan dan katalog CD. Zoom tetap populer dengan
masyarakat web sebagai, solusi kinerja tinggi biaya yang efektif untuk
menambahkan fungsi pencarian tanpa batas ke situs web bisnis.
PassMarkSoftware juga mengelola situs CPU patokan terbesar di dunia,
cpubenchmark.net. Situs ini memberikan pengguna akses ke hasil CPU patokan
untuk lebih dari 600.000 sistem yang mencakup lebih dari 1200 jenis CPU.
2. PEMBAHASAN FITUR
A. Case Management :
1. Create Case : berfungsi untuk memulai/membuat kasus baru untuk
mengelompokkan semua pencarian melalui fitur-fitur yang berbeda di
OSForensics.
 Cara menggunakannya :
 Startcreate case
 Isi data pada jendela yang muncul
 Case name : nama kasus
 Investigator : nama penyelidik
 Organization : nama organisasi atau instansi
 Contact details : isikan informasi contact yang valid.
 Timezone : wilayah waktu anda
 Acquisition type : menetukan alat yang akan dipakai
 Case folder tempat pengimpanan kasus.
 Setelah itu klik OK.
 Screenshoot :
2. Import Case : berfungsi untuk mengimport kasus sebelumnya untuk
dilanjutkan.
 Cara menggunakannya :
 Start Pilih import
 Kemudian browse folder case yang akan di import
 Klik ok.
 Screenshoot :
3. Generate Report : berfungsi untuk membuat laporan dalam bentuk HTML
isi dari kasus yang aktif.
 Cara menggunakannya :
 Start Pilih Generate Report
 Kemudian akan muncul jendala export report, klik ok.
 Kemudian akan muncul laporan dalam bentuk HTML pada jendela browser.
 Screenshoot :
4. View Log : berfungsi untuk menampilkan aktivitas kejadian dalam bentuk log.
 Cara menggunakannya :
 Start Pilih View Log
 Kemudian akan tampil Jendela Case activity log, pilih save.
 Screenshoot :

B. File Searching & Indexing :

1. File Name search : berfungsi untuk mencari file disebuah direktory.
 Cara menggunakannya :
 Start Pilih File Name search
 Isi search string dan start folder,
 Kemudian klik search.
 Note :
 Search string : nama file yang akan dicari.
 Presets : menentukan jenis data yang akan dicari
 Start Folder : menetukan partici atau directory tempat file berada.
 File list : daftar file yang ditemukan
 Thumbnails : keterangan dari file
 Timeline : waktu file dibuat terakhil kali.
 Screenshoot :

2. Mismatch file search : berfungsi untuk mencari file-file yang tidak bisa
dibuka secara default atau rusak.
 Cara menggunakannya :
 Start Mismatch file search
 Start folder : menentukan folder atau direktory yang dipilih untuk di scan.
 Filter : untuk menentukan mode scan yang diterapkan.
 Screenshoot:

3. Create Index : berfungsi untuk membuat index dari data data yang ada pada
directory agar dengan mudah dapat dicari.
 Cara menggunakannya :
 Start Pilih File Name search
 Di step 1 pilih type file yang akan dicari
 Step 2 pilih lokasi yang akan dicari
 Step 3, isikan judul dan note indexnya
 Kemudian klik start indexing
 Step 4, diproses
 Step 5,dalam pemrosesan dan tunggu sampai seslesai.
 Note :
 Use Pre-defined file types : memilih tipe atau jenis file yang akan dibuat
index pade sebuah direktory secara otomatis.
 Use costum template (advanced) : membuat index dengan tempelate secara
manual.
 Screenshoot :
4. Search Within Files : berfungsi untuk mencari teks full dalam suatu file di
harddisk.
 Cara menggunakannya :
 Start Search Within Files
 Kemudian klik search.
 Screenshoot :

C. Hashing & Files Identification :

1. New Hash Database : berfungsi untuk membuat sebuah hash database baru.
Biasanya berisikan kumpulan hash set, Hash set ini digunakan untuk baik
atau buruknya suatu file menggunakan MD5 dan SHA signature.
 Cara Menggunakannya :
 Start New Hash Database
 Ketikkan Nama Database yang akan dibuat.
 Klik ok.
 ScreenShoot :
 2. New Hash Set : berfungsi untuk membuat sebuah hash set baru yang
didalamnya terdapat hash database yang aktif.
 Cara Menggunakannya :
 Start New Hash Set
 Isikan field yang ada dijendela new hash set
 Klik Create.
 Note :
 Origin : File original. Tergantung ruang lingkup database ini yang bias lebih
spesifik seperti “Bill PC” or atau sebuah organisasi.
 Product type : Tipe produk apa yang filenya berkaitan dengan contoh
pengolah kata,atau editor gambar.
 Manufacture : Perusahaan atau orang yang membuat beberapa file tersebut.
 Set type : Sebuah klasifikasi untuk set file. Contohnya baik atau buruk, dll.
 OS : Sistem operasi yang berkaitan dengan file tersebut.
 Set name : Nama yang akan diset untuk Hash Set.
 Version : Versi dari file teserbut.
 Language : Bahasa yang digunakan dalam file tersebut.
 Folder : Direktori dimana mencari file yang ditambahkan di set. Semua Folder
dan SubFolder akan ditambahkan.
 Screenshoot :
3. Create Hash : berfungsi untuk membuat hash atau mengubah file atau partisi
dalam bentuk hash.
 Cara Menggunakannya :
 Start Create Hash
 Pilh File dan browse
 Pilih hash function
 Klik Calculate.
 Note :
 File : browse menggunakan file yang akan di buatkan hash nya.
 Volume : untuk memlih drive yang akan di buatkan hash nya.
 Text : menggunakan teks yang akan di buatkan hash nya.
 Hash Fuction : untuk memilih tipe hash nya.
 Screenshoot :
4. Create Signature : berfungsi untuk membuat tanda tangan pada sebuat
aplikasi.
 Cara Menggunakannya :
 Start Create Signature
 Pilih folder yang akan dibuatkan signaturenya
 Klik Start
 Pilih Signature,kemudia klik save.
 Screenshoot :
5. Compare Signature : berfungsi untuk membandingkan tanda tangan yang
alam dan yang baru.
 Cara Menggunakannya :
 Start Compare Signature
 Pilih file yang akan dibuka pada old signature
 Pilih file yang akan dibuka pada new signature
 Klik Compare.
 Screenshoot :
D. Viewers :
1. File and Hex Viewer : berfungsi untuk
 Cara Menggunakannya :
 Start File and Hex Viewer
 Pilih file , klik open.
 Sreenshoot :
2. Memori viewer : berfungsi untuk menampilkan penggunaan memori dari
aplikasi yang sedang berjalan.
 Cara Menggunakannya :
 Start Memori viewer
 Akan muncul jendela warning
 Klik centang dan klik ok.
 Note :
 Process info : menampilakan informasi tentang aplikasi yang dipilih dan
penggunaan memorinya.
 Memori space : menampilkan penyimpanan yang digunakan aplikasi.
 Memory layout : berfungsi untuk menampilkan penggunaan memory.
 Sreenshoot
3. Raw Disk Viewer : berfungsi untuk menampilkan memori dalam bentuk
hex.
 Cara Menggunakannya :
 Start Raw Disk Viewer
 Sreenshoot :
4. Registry viewer : berfungsi untuk menampilkan registry yang tersimpan di
komputer.
 Cara Menggunakannya :
 Start Registry viewer.
 Pilih Drive atau browse file.
 Pilih file yang akan dibuka
 Klik ok.
 Sreenshoot :
5. File system browser : merupakan penampil file system yang disediakan oleh
aplikasi untuk mempermudah.
 Cara Menggunakannya :
 Start File and Hex Viewer
 Pilih file , klik open.
 Sreenshoot :
6. SQlite DB Browser : berfungsi untuk menampilakan database SQL
 Cara Menggunakannya :
 Start File and Hex Viewer
 Klik Load DB
 Akan muncul jendela baru, pilih folder yang akan dibuka
 Klik open.
 Sreenshoot :
7. Web Browser : merupakan browser internet yang disediakan oleh aplikasi
untuk menjelajahi internet.
 Cara Menggunakannya :
 Start Web Browser
 Kemudian ketikkan alamat web yang akan dituju.
 Tekan enter.
 Sreenshoot :
8. Email Viewer : berfungsi untuk melihat segala sesuatu dari header pesan ke
berbagai format pesan yang disimpan atau tersedia (Text, HTML, Rich Text
Format).
Semua lampiran file juga dapat diekstraksi dari pesan e-mail diarsipkan yang
dipilih.
 Cara Menggunakannya :
 Start Email Viewer
 Pilih file , klik open.
 Sreenshoot :
9. Thumb Cache Viewer : berfungsi untuk melihat cache file thumb.
 Cara Menggunakannya :
 Start Thumb Cache Viewer
 Pilih drive atau browse file, klik open.
 Sreenshoot :
10. ESEDB Viewer : berfungsi untuk memperbolehkan user untuk mencari
rekaman database yang cocok dengan sebauh kriteria , termasuk frase kata,
jangkauan data dan nilai angka.
 Cara Menggunakannya :
 Start ESEDB Viewer
 Pilih drive atau browse file, klik open.
 Sreenshoot :
11. Prefetch viewer : untuke menampilan sampah dari hasil membuka aplikasi.
Dengan menggunakan informasi ini, forensik peneliti dapat menentukan pola
penggunaan aplikasi tersangka.
 Cara Menggunakan :
 Start Prefetch viewer
 Note :
 Drive : menentukan drive mana yang dipilih untuk di scan.
 Mapped : menampilakan file yang ditemukan.
 Mapped direktories : menampilan directory dari file yang di pilih.
 Screenshoot :
E. System Artifacts & Password :
1. Deleted Files & Data Carving : berfungsi untuk mencari, menampilkan
serta merecovery file yang terhapus dari sebuah partisi atau directory.
 Cara Menggunakannya :
 Start Deleted Files & Data Carving
 Pilih Disk atau drive yang akan di scan
 Klik search.
 Note :
 Disc : tempat partici dimana file dihapus
 Filter string : nama file yang akan dicari
 Preset : menentukan jenis atau type file yang akan dicari.
 Deleted file list : daftar file yang ditemukan.
 Untuk menyimpan file yang terhapus :
 Klik kanan save deleted file..  pilih folder tempat file disimpan.

 Screenshoot :
2. Recent Activity : berfungsi untuk mencari dan menampilakn aktivitas
komputer yang terakhir.
 Cara Menggunakannya :
 Start Recent Activity
 Pilih file , klik open.
 Note :
 Live acqusition of current mechine : langsung memperoleh data dari semua
drive yang ada.
 Scan Drive : menentukan drive yang akan dicari aktivitas terakhirnya.
 Sreenshoot :
3. System Information : berfungsi untuk menampilkan informasi system
komputer.
 Cara Menggunakannya :
 Start System Information
 Pilih list dan klik go.
 Sreenshoot :
4. Website Passwords : berfungsi untuk mencari passwords pada browser
yang ada pada computer.
 Cara Menggunakannya :
 Start Website Passwords
 Pilih find browser passwords
 Klik retrieve passwords
 Sreenshoot :
5. Document Passwords : berfungsi untuk membuka dokumen-dokumen yang
diproteksi dengan password.
 Cara Menggunakannya :
 Start Document Passwords
 Pilih add folder
 Browse file hash atau masukkan hash
 Klik Recorver Password
 Sreenshoot :
F. Housekeeping :
1. Drive Imaging : pencitraan drive atau mengkopy drive.
 Cara Menggunakannya :
 Start Drive Imaging
 Pilih Source Disk
 Pilih Target Image File.
 Note :
 Source Disk : Lokasi penyimpanan yang akan dibuat copyan nya.
 Target Image File : tempat copyan yang akan ditempati sebagai tempat save.
 Sreenshoot :
2. Mount Drive Image : berfungsi untuk membuat virtuall drive baru
 Cara Menggunakannya :
 Start Mount Drive Image
 Pilih sourcenya
 Di file option set image file offset dan drive size.
 Di mount option pilih huruf dan tipe drive.
 Klik ok.
 Sreenshoot :
3. Forensic Copy : berfungsi untuk mecopy isi atau file/folder ke suatu lokasi
barudengan dengan aman.
 Cara Menggunakannya :
 Start Forensic Copy
 Pilih source directory
 Pilih destination director, klik ok
 Muncul warning
 Klik start.
 Sreenshoot :
4. Install to USB : membuat sebuah copyan drive dari OSForensic on the go
(OTG) di USB.
 Cara Menggunakannya :
 Start Removable Drive Preparation
 Pilih USB yang akan di install
 Plih tipe installnya
 Klik install
 Note :
 Evaluation : tipe free OSFroensics
 Licensed : tipe full version OSForensics
 Sreenshoot :
5. Removable Drive Preparation : berfungsi untuk mengecek intergritas dari
semua penyimpanan untuk memastikan berjalan dengan baik.
 Cara Menggunakannya :
 Start Removable Drive Preparation
 Klik start drive test.