TOOL IT FORENSIK

Dosen: Bpk.Donny Maulana S.Kom.,M.Msi

KELAS : TI.16.D.6

WAHYUDIN

(311610513)

UNIVERSITAS PELITA BANGSA

CIKARANG
1. Antiword
Program antiword adalah program yang ditujukan untuk menampilkan isi dari dokumen MS
Word. Pada awalnya format yang digunakan untuk output hanyalah file teks. Namun seiring
dengan perkembangannya saat ini program ini juga bisa meng-convert ke format PS.
Format output teks tentunya memiliki sejumlah keterbatasan seperti gambar dan atribut
layout lain. Dengan format PS, hal-hal tersebut bisa ditangani bagi yang XML mania anda
juga bisa memanfaatkan antiword untuk meng-convert ke format XML.
Program ini bisa di-download di http://www.winfield.demon.nl/ walaupun umumnya
antiword sudah di paketkan bersama distro anda. Cobalah untuk melihat kedalam CD/DVD
distribusi anda sebelum mendownload dan mengonpilasi dari source.
Cara menggunakan program ini sangatlah mudah anda cukup memberikan argumen berupa
nama file document MS Word dan secara default antiword akan meng-convert dokumen
tersebut ke format text dan menampilkanya ke standard output (layar). Contoh :
$ antiword a.doc

Untuk meng-convert ke format XML anda bisa memberikan opsi –x diikuti oleh nama DTD.
Antiword yang penulis gunakan hanya bisa menggunakan DTD berupa db(docbook) berikut
ini merupakan contoh konversi dokumen MS Word ke format XML:

$ antiword –x db a.doc

Untuk meng-convert ke format PS anda bisa memberikan opsi –p diikuti oleh ukuran kertas
seperti letter atau a4 ukuran kertas diberikan dengan huruf kecil dalam beberapa hal
apabila anda menggunakan encoding UTF-8, kombinasi postscript dan UTF-8 tidaklah
didukung oleh karna itu kita perlu memberikan opsi –m untuk memberikan file yang
berisikan character mapping agar file PS tetap bisa dihasilkan, file-file tersebut sudah
dang bersama paket antiword dan umumnya terletak di /usr/share/antiword. Anda harus
menyebutkan nama filenya saja dan bukan path lengkap untuk opsi –m contoh berikut ini
akan meng-convert a.doc format PS ukuran kertas letter dengan menggunakan pemetaan
karakter UTF-8 ke ISO-8859-

$ antiword –pletter –m8859-1.txt a.doc > a.ps

Program ini akan selalu mencetak hasil konversi ke standard output. Apabila kita
ingin menyimpan ke dalam file kita harus meredireksi standard output ke nama file seperti
contoh sebelumnya .

Catatan tambahan untuk konversi ke foormat PS. Antiword memiliki dua opsi tambahan
yaitu –i untuk image level an –l untuk mode landscape gunakan sesuai preferensi anda.

1
 Baik antiword mampu meng-convert ke PS dan XML. Tapi, saya mau ke format PDF apa yang
harus saya lakukan? Antiword memang tidak bisa meng-convert langsung ke format PDF
namun Antiword sudah melakukan pekerjaan yang sangat baik dengan meng-convert ke
format TEXT adn format PS, sebab :

- Anda bisa meng-convert langsung format TEXT ke format PDF dengan memanfaatkan
program text2pdf yang bisa didapatkan di http://www.eprg.org/pdfcorner/text2pdf/ .
Program ini mampu meng-convert format TEXT ke PDF 1.1 dengan sangat cepat dan cukup
bersih. Dalam tulisan kali ini, kita tidak memanfaatkan program ini karena setelah
beberapa kali mencoba , penulis lebih senang menggunakan cara yang akan kita bahas
selanjutnya.
- Anda bisa memanfaatkan output PS dari antiword dengan menggunakan program ps2pdf
yang datang bersama paket ghostscript library. Dengan demikian kita memberi perintah
sama seperti ketika kita ingin meng-convert ke format PS. Setelah itu kita melewatkan
output antiword ke program ps2pdf dan menyimpan hasil konversi ke sebuah file PDF.
o Sebagai contoh untuk konversi ke PDF memanfaatkan ps2pdf:
$ antiword –m8859-1.txt –pletter a.doc | ps2pdf - > a.pdf

Demikianlah pengenalan menggunakan program antiword . Berikut ini kita akan melihat
bagaimana memanfaatkan program-program tersebut untuk menghasilkan konverter online
dokumen MS Word.

2. Autopsy
Seiring perkembangan waktu dan masyarakat, tingkat kriminalitas yang terjadi juga turut
meningkat dan berkembang. Tak hanya dalam tingkat kecil (seperti mencuri di
supermarket), kejahatan juga terjadi dalam tingkat besar (seperti pembunuhan).
Terkadang, ada juga jenis kejahatan yang berupa ‘kejahatan berantai’, yang dilakukan oleh
pelaku yang sama, namun korban yang jatuh tak terhitung jumlahnya dan terjadi di waktu
dan tempat yang berbeda, secara berurutan. Contohnya adalah pemboman gedung oleh
teroris. Pihak berwajib memiliki tim forensik yang bertugas untuk memeriksa bukti-bukti
yang ada, dimana hasilnya dapat digunakan untuk mencegah terjadinya kejahatan dengan
modus yang serupa. Anda tentu sering mendengar kata ‘forensik’ di dalam kehidupan
sehari-hari. Namun, bagaimana dengan forensik komputer?

Forensik komputer atau sering disebut forensik digital, adalah cabang dari ilmu
forensik untuk memeriksa barang bukti yang ditemukan pada sebuah komputer atau media
penyimpanan digital. Tujuannya adalah untuk menjelaskan keadaan dari sebuah digital
artifact, yang didalamnya termasuk sistem komputer, tempat penyimpanan (hard-disk, CD-
ROM, dll), dokumen elektronik (pesan email, gambar, dll), bahkan paket yang sedang
berjalan di dalam suatu jaringan komputer. Tak seperti forensik pada umumnya, forensik
digital membutuhkan software atau tool khusus, untuk membantu tim dalam mendapatkan
sebuah informasi dari bukti-bukti digital yang ditemukan. Salah satu tool tersebut adalah
Sleuth Kit dan Autopsy.

Sleuth Kit adalah kumpulan file command line berbasis UNIX, sekaligus tool
analisis forensik volume system. Sleuth Kit dibuat dengan menggunakan bahasa C dan Perl,
dan menggunakan beberapa kode serta rancangan dari The Coroner’s Toolkit (TCT). Sleuth
Kit, secara umum, terdiri dari dua bagian, yaitu file system tools dan media management
tools. File system tool memungkinkan pengguna untuk memeriksa file sistem dari sebuah

2
komputer yang dicurigai, secara tersembunyi. Karena tool ini tidak bergantung pada sistem
operasi untuk mengolah file sistem, file yang telah dihapus atau disembunyikan dapat
ditampilkan. Tool yang termasuk ke dalam bagian ini adalah file system layer, file name
layer, meta data layer, data unit layer, dan file system journal. Media management tools
memungkinkan pengguna untuk memeriksa layout dari sebuah disk dan media lainnya. Sleuth
Kit mendukung partisi dari DOS, BSD, Mac, Sun, dan GPT. Adapun file sistem yang
didukung adalah NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, dan ISO 9660. Dengan tool
ini, pengguna dapat mengidentifikasi letak posisi partisi dan mengekstraknya, sehingga
dapat dianalisis dengan file system tool.

Autopsy Forensic Browser adalah sebuah antarmuka grafis untuk tool-tool di dalam
Sleuth Kit, yang memudahkan pengguna dalam melakukan investigasi. Autopsy menyediakan
fungsi manajemen kasus, integritas gambar, pencarian kata kunci, dan operasi lainnya.
Autopsy menggunakan Perl untuk menjalankan program-program Sleuth Kit dan mengubah
hasilnya ke HTML, oleh karena itu, pengguna Autopsy membutuhkan web client untuk
mengakses fungsi-fungsinya.

Sleuth Kit dan Autopsy memiliki banyak keunggulan, diantaranya adalah kemampuan
untuk proses analisis dari berbagai jenis file sistem yang berbeda. Selain itu, karena
merupakan sebuah tool open source, keduanya dapat dikembangkan sesuai dengan
kebutuhan masing-masing pengguna. Untuk keterangan lebih lanjut tentang Sleuth Kit dan
Autopsy, dapat dilihat di http://www.sleuthkit.org/.
Cara analisis file dengan menggunakan aplikasi bawaan dari linux forensik yaiut autopsy,
pada aplikasi ini kita bisa mengetahui informasi-informasi tersembunyi dari suatu file,
mulai dari kapan file itu dibuat, kapan file itu terakhir kali dirubah, kapan file terakhir kali
di akses, kapan file itu di hapus, menggunakan enskripsi apa, dan passwordnya apa.

1. Buat analisis kasus baru dengan mengisi nama kasus : studicase, dan diskripsi kasus :
imaging, nama
investigator munawir ansari dan pilih new case untuk membuat analisis kasus baru

2. Add Image untuk menambah file yang akan akan di analisi

3. Maukan lokasi file sumber atau tempat kita menyimpan file yang akan dianalisis yaitu di
flask disk dengan
nama ANSARI folder case, pilih next untuk melanjutkan proses analisis
4. Detail dari file yang akan dianalisis
5. Pilih add image file untuk menambah fil
6. Dari hasil analisis ditemukan beberapa file jimmy jugle.doc, cover page.jgpc, scheduled
visits.exe
7. Langkah pertama kita analisis file jimmy jugle.doc dan kita menemukan alamat
pengiriman barang
8. File yang kedua shedule visit.exe didapat diketahui bahwa file shedule visit.exe
sebenarnya adalah file zip archive data.
9. Setelah itu file tersebut kita export ke home
10. File yang ketiga yaitu coverpage.jpgc sebenarnya bukan file gambar melainkan PC
formatted floppy.
11. Dari hasil analisis ukuran file 20480, file tersebut dibuat Senin, 15 April 2002 jam
14:42:30
12. Selanjutnya lihat informasi lebih jauh pada bagian metadata.
13. Setelah itu kita simpan filenya

3
3. Binhash
Binhash merupakan sebuah program sederhana untuk melakukan hashing terhadap
berbagai bagian file ELF dan PE untuk perbandingan. Saat ini ia melakukan hash terhadap
segmen header dari bagian header segmen obyek ELF dan bagian segmen header obyekPE.
Dalam komputasi, tanda tangan file (File Signatures) data yang digunakan untuk
mengidentifikasi atau memverifikasi isi file. Secara khusus, mungkin merujuk kepada:
•

Berkas magic number: byte dalam file yang digunakan untuk mengidentifikasi format file;
umumnya urutan pendek byte (sebagian besar adalah 2-4 byte panjang) ditempatkan pada
awal file;
•

Berkas checksum atau lebih umumnya hasil dari fungsi hash atas isi file: data yang
digunakan untuk memverifikasi bahwa integritas isi file, umumnya terhadap kesalahan
transmisi atau serangan berbahaya. Tanda tangan dapat dimasukkan pada akhir file atau
dalam file terpisah.

Ini adalah daftar dari File Signatures, data yang digunakan untuk mengidentifikasi atau
memverifikasi isi file. Tanda tangan tersebut juga dikenal sebagai nomor ajaib dan
dijelaskan lebih lanjut dalam jumlah Sihir (pemrograman) artikel. Banyak format file biner
tidak dimaksudkan untuk dibaca sebagai teks. Jika file tersebut sengaja dipandang sebagai
file teks, isinya akan dimengerti. Namun, terkadang signature file bisa dikenali ketika
ditafsirkan sebagai teks. Kolom ISO 8859-1 menunjukkan bagaimana signature file muncul
ketika ditafsirkan sebagai teks dalam umum ISO 8859-1 encoding.

Sejak data disimpan pada komputer sebagai file, semua file – file ini harus dicari dan
diperiksa seolah – olah mereka adalah file di kantor dengan tujuan untuk menemukan
barang bukti digital. Untuk memahami proses data hiding, sesorang pertama kali harus
memahami dulu struktur dari file computer. Struktur dari file computer yang normal
mengandung :
1.Filename
2.File header/footer
3.File content

1. Filename
Filename adalah indentifikasi unik yang mengijinkan computer mengidentifikasi dengan
benar setiap file yang disimpan pada tempat penyimpanan. Informasi pertama pada format
file yang diberikan berada pada akhir nama file, contohnya essay.doc. Aplikasi yang
berbeda menggunakan file format yang berbeda juga untuk meng-encode data yang ada
pada file jadi aplikasi lain tidak bisa mengeluarkan informasi dari data tersebut. Bagian
“.doc” adalah filename extension. Ini digunakan oleh banyak system operasi modern seperti
Mac OS X dan Windows untuk menentukan format dari sebuah file dan menghubungkannya
dengan daftar aplikasi yang compatible dengan itu. 2.
File header/ footer
Informasi yang mendeskripsikan tipe dari sebuah file, dengan aplikasi mana dia
berhubungan, disimpan di header atau footer (atau keduanya) di dalam file.

Informasi seperti ini disebut “signature of the file” atau “file signature” mereka biasanya
unik satu sama lain. File extension dan file signature dari setiap file harus sama satu sama

4
 lain dimana dalam kebanyakan kasus hanya sedikid pengecualian. Mereka bisa kurang cocok,
tidak cocok, tipe yang tidak diketahui dan hasil yang anomaly. Setiap file mempunyai file
header/footer yang mengandung informasi dalam format mengenai konten yang tersimpan
di dalam file tersebut. Ini bisa berasal dari bagian dari file atau disimpan di file yang
berbeda. File dari tipe tertentu bisa melakukan pencarian dengan menggunakan informasi
yang tersimpan hanya dengan file header saja. Informasi seperti itu bisa mudah
didapatkan dengan membuka files menggunakan hex editor seperti WinHex. Peralatan
seperti itu membuat pengguna bisa melihat dan mengedit raw dan isi konten dari file. Di
bawah ini adalah file pcap yang dibuka menggunakan Winhex editor : 3.

File Content
Sejak tujuan dari sebuah file ada menyimpan data yang berbeda untuk aplikasi yang
berbeda, content utama dari sebuah file adalah data yang berhubungan dengan aplikasinya.
Beberapa data mungkin di encoded dengan berbagai cara sehingga hanya aplikasi yang
compatible yang dapat membukanya dan mampu membaca dan mengeluarkan isi dari konten
yang terdapat dalam file.

4. Sigtool
Sigtool merupakan tool untuk manajemen signature dan database ClamAV. sigtool
dapat digunakan untuk rnenghasilkan checksum MD5, konversi data ke dalam format
heksadesimal, menampilkan daftar signature virus dan build/unpack/test/verify database
CVD dan skrip update.
ClamAV merupakan anti virus open source untuk mendeteksi trojan, virus, malware
dan serangan-serangan lain. ClamAV ini merupakan standard open source untuk mail
gateway scanning software. ClamAv meliputi multi-threade scanner daemon dan juga
perintah-perintah command line untuk melakukan scanning dan jula melakukan update
secara otomatis. ClamAV mendukung banyak format dari file dan juga berbagai macam file
kompresi. ClamAV dapat dijalankan pada Linux, Windows, maupun Mac.

5
 Database virus yang ditangani ini diupdate setiap 5 jam sekali. ClamAV ini
merupakan standar antivirus yang digunakan dalam cPanel. ClamAv juga dapat mendeteksi
email phishing, suatu email yang memancing kita melakukan aksi tertentu yang berpotensi
merugikan kita.

Proses yang disediakan ClamAv adalah

ClamAV library
clamscan
freshclam
Program freshclam ini akan mengupdate database virus. Program freshclam ini akan
mendownload main.cvd, daily.cvd dan bytecode.cvd .
clamd
clamdscan
clamconf
script untuk start clamd dan freshclam dalam mode daemon.
Untuk pengguna Windows, ada program Antivirus yang menggunakan ClamAv yaitu
Immunet.
Fitur dari Immunet antara lain

Real-time Detection
Scann yang bisa dijadwal
Scan yang cerdas secara cermat dan dapat dikonfigur
Custom Detection
Quarantine
ClamAv juga digunakan pihak ketiga yang bisa kita lihat pada halaman
https://www.clamav.net/downloads . ClamAv ini digunakan pihak ketiga antara lain dalam

6
 MTA (Mail Transfer Agents)
POP3 (Post Office Protocol)
Web dan FTP
Filesys
MUA

5. Chaosreader
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan
mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer
HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh
log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh
detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC;
dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.
ChaosReader merupakan sebuah tool freeware untuk melacak sesi TCP/UDP/… dan
mengambil data aplikasi dari log tcpdump. la akan mengambil sesi telnet, file FTP, transfer
HTTP (HTML, GIF, JPEG,…), email SMTP, dan sebagainya, dari data yang ditangkap oleh
log lalu lintas jaringan. Sebuah file index html akan tercipta yang berisikan link ke seluruh
detil sesi, termasuk program replay realtime untuk sesi telnet, rlogin, IRC, X11 atau VNC;
dan membuat laporan seperti laporan image dan laporan isi HTTP GET/POST.

a. Install ChaosReader

1. Install penerjemah PERL 5.6.x terlebih dahulu di komputer anda .

2. Muncul dalam paket MSI sehingga yang harus dilakukan adalah klik dan ikuti
perintahnya.
3. Langkah kedua adalah mendownload Chaosreader sendiri.
4. Drag dan drop program ini ke root c: \. Dengan kata lain pasang di c: \. Hal ini
membuat lebih mudah dinavigasi karena semua jenis program ini harus dipasang di sana,
jika mereka belum menginstal di sana secara default

b. Cara Menggunakan ChaosReader

1. Buka cmd.exe dan arahkan ke c: \ dan masukkan perintah berikut;

C:\> chaosreader0.94

2. Windows akan menanyakan apa yang ingin dibuka dengan program ini.
Chaosreader akan terbaca dalam PERL jadi kita perlu mengganti namanya menjadi seperti
berikut ini.

c:> copy chaosreader0.94 chaosreader.pl

3. Setelah mengganti nama maka dapat melanjutkan dan memasukkan perintah

yang dicatat di bawah ini.

c:\> chaosreader.pl –help

4. Kemudian ketik didalam cmd seperti dibawah ini.

7
 Version 0.94, 01-May-2004
USAGE: chaosreader [-aehikqrvxAHIRTUXY] [-D dir]
[-b port[,...]] [-B port[,...]]
[-j IPaddr[,...]] [-J IPaddr[,...]]
[-l port[,...]] [-L port[,...]] [-m bytes[k]]
[-M bytes[k]] [-o "time"|"size"|"type"|"ip"]
[-p port[,...]] [-P port[,...]]
infile [infile2 ...]

chaosreader -s [mins] | -S [mins[,count]]

[-z] [-f 'filter']
chaosreader # Create application session files, indexes
-a, --application # Create application session files (default)
-e, --everything # Create HTML 2-way & hex files for everything
-h # Print a brief help
--help # Print verbose help (this) and version

5. Perlu diketahui bahwa ini adalah singkatan dari file bantuan yang disertakan
dengan Chaosreader. Jadi sekarang kita memiliki Chaosreader yang berjalan. Yang perlu
kita dapatkan dengan menggunakan windump. Setelah menginstal windump ke drive c kita
siap untuk melanjutkan. Harap diingat bahwa Anda juga memerlukan winpcap sehingga
windump akan bekerja. Sekarang Anda perlu memasukkan string seperti berikut atau
variannya.

c:> windump.exe -w traffic -s 0

6. Filter BPF ini akan mengumpulkan semua paket yang menimpa kartu NIC Anda
dan memasukkannya ke file log biner yang disebut "traffic". Ini adalah file yang disebut
"traffic" yang sekarang akan kita gunakan untuk memberi makan ke Chaosreader.
Sekarang, silahkan mengeluarkan perintah berikut untuk mendapatkan beberapa keluaran
dari Chaosreader; (buatlah sebuah direktori yang disebut "chaos_output2" seperti: mkdir
chaos_output2).
C:\>chaosreader.pl -e traffic -D chaos_output2
Chaosreader ver 0.94
7. Lalu terbukalah traffic.

Reading file contents,

100% (2601433/2601433)
Reassembling packets,
100% (916/3061)

8. Traffic tersebut akan membuat berbagai file.

Num Session (host:port <=> host:port) Service

0009 192.168.1.102:4500,63.240.93.142:80 web
0012 192.168.1.102:4506,67.18.103.137:80 web
0018 192.168.1.102:4516,67.18.103.137:80 web
0017 192.168.1.102:4514,213.86.172.147:80 web
0003 192.168.1.102:4494,68.142.228.154:80 web
0013 192.168.1.102:4508,67.18.103.137:80 web

8
 0004 192.168.1.102:4484,72.14.207.104:80 web
0011 192.168.1.102:4504,216.109.126.26:80 web
0005 192.168.1.102:4496,206.190.44.47:80 web
0015 192.168.1.102:4512,64.233.167.104:80 web
0014 192.168.1.102:4510,67.18.103.137:80 web
0016 69.50.174.2:12345,192.168.1.102:3704 3704
0007 192.168.1.102:4498,63.240.93.147:80 web
0001 192.168.1.102:4250,216.196.97.142:119 119
0002 192.168.1.102:4249,216.196.97.142:119 119
0010 192.168.1.102:4502,216.109.118.41:80 web
0008 192.168.1.102:1025,24.153.23.66:53 dns
0006 192.168.1.102:1025,24.153.22.67:53 dns

9. index.html dibuat.

C:\>

10. Jadi seperti yang bisa kita lihat dari keluaran di atas yang dihasilkan oleh
Chaosreader saya memiliki beberapa file yang duduk di direktori "chaos_output2" seperti
yang terlihat di bawah ini.

C:\chaos_output2>dir
Volume in drive C has no label.
Volume Serial Number is 806A-DE05

11. Directory of C:\chaos_output2

11/05/2005 12:52 PM <DIR> .

11/05/2005 12:52 PM <DIR> ..
11/05/2005 12:52 PM 9,430 getpost.html
11/05/2005 12:52 PM 4,381 httplog.text
11/05/2005 12:52 PM 516 image.html
11/05/2005 12:52 PM 9,344 index.html
11/05/2005 12:52 PM 6,254 index.text
11/05/2005 12:52 PM 2,129,400 session_0001.119.hex.html
11/05/2005 12:52 PM 972,286 session_0001.119.hex.text
11/05/2005 12:52 PM 279,154 session_0001.119.html
11/05/2005 12:52 PM 2,029,317 session_0002.119.hex.html
11/05/2005 12:52 PM 926,732 session_0002.119.hex.text
11/05/2005 12:52 PM 266,084 session_0002.119.html

6. Chkrootkit
Chkrootkit merupakan sebuah tool untuk memeriksa tanda-tanda adanya rootkit
secara lokal. la akan memeriksa utilitas utama apakah terinfeksi, dan saat ini memeriksa
sekitar 60 rootkit dan variasinya.
Rootkit pada dasarnya adalah kumpulan program yang dapat memberikan akses
tingkat administrator komputer kepada penyerang (hacker). Setelah menginfeksi sistem,
malware mengubah file sistem penting sedemikian rupa sehingga program anti-malware
tidak dapat mendeteksinya.

9
 Karena antivirus biasa tidak mampu mendeteksi rootkit maka kita membutuhkan
program anti-malware khusus untuk mendeteksi rootkit, salah satunya adalah Chkrootkit.
Chkrootkit adalah tool yang dikembangkan untuk mendeteksi rootkit.

Saat agan memindai sistem dengan Chkrootkit, maka tool ini akan memonitor file
sistem untuk mengetahui tanda-tanda adanya rootkit.

Bagaimana caranya mendetiksi malware rootkit menggunakan Chkrootkit? Simak

artikel saya ini sampai selesai untuk mendapatkan jawabannya.

Cara Mendeteksi Rootkit Dengan Menggunakan Chkrootkit

Cara Menguinstal Chkrootkit

Kita dapat menginstall Chkrootkit dengan mudah di Linux. Misalnya agan
menggunakan Debian atau Ubuntu, silahkan masukan perintah dibawah ini:
# sudo apt-get install chkrootkit

Cara Cek Kondisi Jaringan Apakah Dalam Mode Promiscuous

Penyerang sering mengubah antarmuka jaringan menjadi mode promiscuous untuk
dapat dengan mudah mencuri data sensitif. Mode promiscuous pada dasarnya adalah mode
khusus perangkat keras Ethernet di mana Network Interface Card atau NIC dapat
menerima semua lalu lintas di jaringan.

Biasanya sebuah sistem hanya menerima paket jaringan dengan alamat tujuan yang
cocok dengan miliknya. Namun, dalam mode promiscuous sistem dapat membaca semua
paket. Agan dapat memeriksa apakah sistem sedang dalam mode promiscuous dengan
perintah Chkrootkit berikut ini:
# sudo chkrootkit sniffer

Cara Scan Sistem Menggunakan Chkrootkit

memasukan perintah:
# sudo chkrootkit

Cara Menjalankan Testing Chkrootkit

Untuk menjalankan semua tes secara spesifik, silahkan agan masukan perintah:
# sudo chkrootkit -l

Kita juga dapat menjalankan tes khusus dengan Chkrootkit. Sebagai contoh, agan
dapat menjalankan perintah dibawah ini untuk menguji perintah ps dan ls dan mendeteksi
keberadaan rootkit.
# sudo chkrootkit ps ls

Chkrootkit akan memberikan laporan "Infected" jika sebuah file terinfeksi dengan
rootkit dan "Not Infected" jika sebaliknya. Agan juga dapat menjalankan Chkrootkit dalam
mode senyap di mana hanya file yang terinfeksi yang akan dilaporkan dalam output. Caranya
dengan memasukan perintah berikut ini:
# sudo chkrootkit -q

Cara Menyediakan Jalur Alternatif Chkrootkit

10
 Seperti yang saya katakan di atas, rootkit dapat mengubah file sistem secara
diam-diam. Seseorang dapat menggunakan opsi '-p' untuk menyediakan jalur alternatif ke
binari yang dapat digunakan Chkrootkit. Caranya dengan memasukan perintah:
# sudo chkrootkit -p /cdrom/bin:floppy/mybin

Dengan perintah Chkrootkit di atas maka akan menggunakan binari yang ada di
/cdrom/bin dan floppy/mybin untuk mendeteksi rootkit yang ada didalam sistem.

Cara Memindai Disk Yang Dimount

Kadang-kadang disarankan untuk menjalankan (mount) disk dari sistem yang
terinfeksi dengan sistem yang bersih dan kemudian memindai rootkit. Untuk memindai disk
yang terpasang di /mnt, agan dapat menjalankan perintah berikut ini:
# sudo chkrootkit -r /mnt

Cara Memeriksa String Mencurigakan Dalam Program Biner

Dengan chkrootkit agan dapat memeriksa string yang mencurigakan yang ada dalam
program biner dan kemudian menganalisa lebih lanjut. Caranya dengan memasukan perintah
berikut ini:
# sudo chkrootkit -x | more

Harap dicatat bahwa Chkrootkit dapat mendeteksi rootkit, tetapi tidak dapat
menghapusnya. Jika sistem terinfeksi rootkit, salah satu cara untuk menghapus rootkit
adalah dengan mencadangkan file penting yang tidak terinfeksi dan melakukan instalasi
ulang.

7. Dcfldd
dcfldd tools yang dibuat oleh DEPHAN (DEPARTEMENT PERTAHANAN KOMPUTER
FORENSIC USA).
kali ini saya akan membahas cara penggunaaan tools ini,,, kali ini saya akan mencoba
mengcopy partisi sebuah hard drive ke file image di partisi lain... tools ini dulu ada di
backtrack 4 tapi sekarang di backtrack 5 gak ada....jadi agak surem ne backtrack 5
Edition...
Satu hal yang perlu diperhatikan, pastikan Anda mengatur "if dan" of"kalau anda salah
menempatkannya maka hardrive anda akan benar2 terhapus . Saya juga membuat hash md5
dari file asli dan file yang disalin untuk memverifikasi keakuratan gambar copy.
KEGUNAAN-kegunaaanya:
Hashing data yang ditransmisikan.
Menampilkan Progress Bar Berapa banyak data yang telah di kirim.
menghapus harddisk dengan pola yang diketahui.
memverifikasi image untuk di identifikasi ke hardisk orginal.bit-for-bit
Output simultan untuk lebih dari satu file / disk adalah mungkin.
Outputnya dapat dibagi menjadi beberapa file.
Log dan data dapat disalurkan ke aplikasi eksternal.
8. Ddrescue
Seperti halnya dd, dd_rescue dapat menyalin data pada sebuah file atau block device ke
lokasi lain. dd_rescue adalah tool yang membantu kita menyelamatkan data pada partisi
yang rusak.

11
Ia membantu membaca dan bila gagal, ia akan melanjutkan membaca sektor selanjutnya
diaman tool semacam dd gagal bekerja. Bila proses penyalinan di interupsi user, program ini
dapat melanjutkan penyalinan dari posisi sebelumnya, ia bahkan dapat menyalin dengan
urutan terbalik (backward).

Keuntungan dd_rescue
Bayangkan –semoga tidak melanda kamu– salah satu partisi kamu crash, dan kerana ada
banyak error, kamu tidak ingin lagi menulisi hardisk. Ambil data didalamnya dan hardisk
langsung di pensiunkan adalah pilihan tept. Sialnya, kamu tidak dapat mengakses file karena
file system rusak.

Kini, kamu dapat menyalin seluruh partisi kedalam sebuah file dan memburningnya ke CD-
ROM. Kamu bisa menyetup loop device, memperbaiki (fsck) dan semoga saja bisa menge-
mount file ini.

Penyalinan partisi ini dengan tool seperti cat atau dd akan gagal, karena tool tadi akan
berhenti dan exit lantaran error. Lain halnya dengan dd_rescue. Ia akan mencoba membaca
dan bila gagal, ia akan meneruskan pembacaan sektor selanjutnya. File output tentunya
banyak ‘lubangnya’. Namun kamu bisa menuliskan file log, untuk melihat, dimana saja error –
error terjadi.

Ketika ditemukan error, data rate yang mengalami drop sangat kecil. Bila kamu
menginterupsi proses penyalinan, kamu tidak akan kehilangan apapun. Kamu daat
melanjutkan dari posisi terakhir kali berhenti. File output akan diisi selanjutnya dan tidak
dipotong seperti terjadi pada tool – tool lain.

Bila ada satu titik bad sektor dalam partisi, akan lebih tepat jika kamu menggunakan
pendekatan dari dua sisi. Penyalinan dengan arah terbalik (backward) menjadi pilihan jitu.
Instalasi dd_rescue di Debian sebagai berikut : #apt-get install ddrescue sedang di
Ubuntu perintahnya sudo apt-get install ddrescue

ddrescue Syntax
dd_rescue [options] infile outfile

Sekarang kita melihat bagaimana menggunakan ddrescue pada hard disk rusak. Jika kamu
mempunyai hard disk /dev/sda1 dan memiliki space kosong di hard disk /dev/sda2. Bila
hendak menyalin data dari /dev/sda1 ke /dev/sda2, gunakan perintah dd_rescue /dev/sda1
/dev/sda2/backup.img. Sedangkan jika kamu memakai Ubuntu Linux, gunakan perintah sudo
dd_rescue /dev/sda1 /dev/sda2/backup.img. Kedua perintah akan menyalin image
/dev/sda1 ke sda2.

Selanjutnya, kita perlu mengecek konsistensi backup image. Proses ini mengecek apakah
ada masalah dengan file image tadi. Gunakan perintah fscx -y /dev/sda2/backup.img. Bila
kamu menggunakan Ubuntu, jalankan perintah sudo fscx -y /dev/sda2/backup.img.

Setelah selesai mengecek file tersebut, kita mount image ini ke hard disk lain dengan
perintah sebagai berikut : mount /dev/sda2/backup.img /mnt/recoverydata. Untuk
Ubuntu, perintahnya adalah sudo mount /dev/sda2/backup.img /mnt/recoverydata.

12
 Perintah tadi akan menge-mount semua data pada backup.img di mnt/recoverydata
sehingga kamu dapt mencoba mengakses data tanpa masalah. Semoga

Restore image
Untuk merestore image tadi, perintahnya dd_rescue /dev/sda2/backup.img /dev/sda1 dan
untuk Ubuntu dengan perintah sudo dd_rescue /dev/sda2/backup/img /dev/sda1

Salin Dsik Image ke Komputer Remote dengan SSH

Bila kamu hendak menyalin disk image komputer remote melalui SSH, perintahnya
#dd_rescue /dev/sda1 – |ssh username@machineip Aecat/datarecovery/backup.imgAf
dan buat Ubuntu dengan perintah sudo dd_rescue /dev/sda1 – |ssh username@machineip
Aecat / datarecovery/backup.imgAf. Perintah ini akan meminta password untuk username.
Setelah memasukan password, dd_rescue mulai menyalin yang tentunya proses penyalinan
lintas jaringan memakan waktu.

Kemungkinan Error

Bila mendapati error – error berikut saat penyalinan, kamu dapat mengabaikannya :

dd_rescue: (warning): output file is not seekable!

dd_rescue: (warning): illegal seek

Bila menghendaki image dalam format terkompresi, gunakan perintah #tar zcvf –
/dev/sda1 | ssh username@machineip Aecat@@>/tmp/Datarecovery/backup.tar.gzAf.
Untuk pengguna Ubuntu, perintahnya sudo tar zcvf – /dev/sda1 | ssh username@machineip
Aecat@@>/tmp/Datarecovery/backup.tar.gzAf.

9. Foremost

Foremost adalah salah satu tools yang powerful yang berguna untuk recovery file yang
terhapus / mengembalikan data yang terhapus. Pada awalnya Foremost merupakan
software yang di develop oleh militer US (Air Force Office of Special Investigation).
Foremost merupakan salah satu tools favorit di bidang digital forensic, terutama dalam hal
data carving. Kemampuan Foremost dalam mengembalikan data yang sudah terhapus sudah
diakui kehebatannya.

Foremost merupakan aplikasi berbasis console yang melakukan recovery file berdasarkan
header file, footer file, data struktur data. Foremost dapat bekerja pada image file (.iiso,
dll), seperti yang dihasilkan oleh dd, Safeback, Encase, dll, atau langsung pada drive.

Berikut ini step by step instalasi dan penggunaan foremost dengan menggunakan os ubuntu.

1.Instalasi foremost

13
 2. digit@digit-laptop:~$ sudo apt-get install foremost

3. Mengecek partisi kita, dan mencari tahu di bagian partisi mana file-file yang akan kita
recover

4. digit@digit-laptop:~$ sudo fdisk -l

1. Foremost men-support file-file berikut ini untu di recover :

jpg, gif, png, bmp, avi, exe, mpg, wav, riff, wmv, mov, pdf, ole, doc, zip, rar, htm, cpp,
office documents

Jika file-file yang anda selamatkan tidak ada dalam list file yang di support oleh foremost,
tenang saja, anda tetap dapat menambahkannya dalam konfigurasi foremost di
/etc/foremost.conf

digit@digit-laptop:~$ sudo nano /etc/foremost.conf

Format menambahkan file yang ingin di recover oleh foremost adalah :

#extension case sensitive size header footer

Misalkan saya ingin menambahkan file gzip yang ingin saya selamatkan, maka saya
menambahkan sbb :

gzip y 1500000 \x1f\x8b\x08

5. Percobaan recovery file :

6. digit@digit-laptop:~$ sudo foremost -t <tipe file> -i <partisi anda>

Misalnya anda ingin menyelamatkan data yang berada di partisi /dev/sda3 (Lihat partisi
dengan menggunakan step nomor 2)

digit@digit-laptop:~$ sudo foremost -t jpg -i /dev/sda3

Perintah di atas akan melakukan recovery data dengan ekstensi file / type file jpg
(gambar, dimana file tersebut berlokasi di /dev/sda3.

7. Output hasil recovery data secara default berada di /home/useranda/output. Secara

default folder output tesebut memiliki ownership root, silakan anda dubah menjadi
ownership user anda sendiri

14
8. digit@digit-laptop:~$ sudo chown -R user:user /home/user/output

Jika anda ingin menspesifikkan dimana anda ingin menaruh output file anda, silakan gunakan
perintah ini :

digit@digit-laptop:~$ sudo foremost -t jpg -i /dev/sda3 -o /home/backup/

9. Jika anda hanya ingin mencari file yang telah terhapus / terformat, anda dapat
menggunakan perintah ini :

10. digit@digit-laptop:~$ sudo foremost -t gif,pdf -i /dev/sda3

Mencari Office Dokumen :

digit@digit-laptop:~$ sudo foremost -t ole -i /dev/sda3

Mencari seluruh ekstensi / file type dokumen :

digit@digit-laptop:~$ sudo foremost -t all -i /dev/sda3

10.Gqview
Gqview merupakan sebuah program untuk melihat gambar berbasis GTK la mendukung
beragam format gambar, zooming, panning, thumbnails, dan pengurutan gambar.

11.Galleta

Galleta merupakan sebuah tool yang ditulis oleh Keith J Jones untuk melakukan analisis
forensic terhadap cookie Internet Explorer.

12.Ishw (Hardware Lister)

Ishw (Hardware Lister) merupakan sebuah tool kecil yang memberikan informasi detil
mengenai konfigurasi hardware dalam mesin. la dapat melaporkan konfigurasi memori
dengan tepat, versi firmware, konfigurasi mainboard, versi dan kecepatan CPU, konfigurasi
cache, kecepatan bus, dsb. pada sistem t>MI-capable x86 atau sistem EFI.

15
 Untuk keperluan tertentu, pengguna komputer kadang kala perlu menilik spesifikasi
perangkat keras yang ada di komputernya. Pengguna komputer bermerk barangkali tidak
mengalami kesulitan untuk melakukannya karena spesifikasi tersebut tertulis lengkap di
buku manual. Namun, berbeda halnya jika yang digunakan adalah komputer rakitan.
Untunglah ada aplikasi bernama Hardware Lister yang bisa digunakan untuk menampilkan
perangkat keras apa saja yang ada pada sebuah komputer. Aplikasi Hardware Lister ini
sejatinya merupakan antarmuka dari perintah baris lshw.
Perintah baris lshw itu sendiri sebenarnya sudah cukup mumpuni dalam menampilkan
daftar perangkat keras yang ada. Namun seperti kita ketahui bersama, relatif banyak
pengguna komputer yang alergi dengan perintah baris dan cara untuk memahami output
yang dihasilkannya. Dengan menggunakan aplikasi Hardware Lister yang memiliki tampilan
visual, “pembacaan” terhadap daftar perangkat keras yang tersedia diharapkan menjadi
relatif lebih mudah.
Jika pada saat pertama kali dijalankan aplikasi Hardware Lister belum menampilkan
informasi apapun, cobalah mengeklik tombol
Refresh. Dalam beberapa saat Hardware Lister akan menampilkan daftar perangkat keras
yang ada di komputer bersangkutan.
Daftar tersebut ditampilkan secara berjenjang. Misalnya, sebuah komputer
desktop di jenjang paling tinggi, lalu ada motherboard di bawahnya, dan menyusul daftar
perangkat keras yang ada di motherboard itu. Detail setiap perangkat keras akan
ditampilkan pada kolom paling kanan bila item perangkat tersebut diklik.

13.Pasco

Pasco, yang berasal dari bahasa Latin dan berarti “browse”, dikembangkan untuk
menguji isi file cache Internet Explorer. Pasco akan memeriksa informasi dalam file
index.dat dan mengeluarkan hasil dalam field delimited sehingga dapat diimpor ke
program spreadsheet favorit Anda. Banyak penyelidikan kejahatan komputer
membutuhkan rekonstruksi aktivitas Internet tersangka. Karena teknik analisis ini
dilakukan secara teratur, Keith menyelidiki struktur data yang ditemukan dalam file
aktivitas Internet Explorer (file index.dat).

Implementasi Pasco

Pasco digunakan saat analisa bukti digital. Analisa bukti digital dilaksanakan dengan
melakukan analisa secara mendalam terhadap bukti-bukti yang ada. Bukti yang telah
didapatkan perlu di-explore kembali kedalam sejumlah skenario yang berhubungan
dengan tindak pengusutan, seperti:

1. Siapa yang telah melakukan

2. Apa yang telah dilakukan

3. Apa saja software yang digunakan

4. Hasil proses apa yang dihasilkan

16
5. Waktu melakukan.

Studi Kasus:

Penelusuran bisa dilakukan pada data-data sebagai berikut: alamat URL yang telah
dikunjungi, pesan e-mail atau kumpulan alamat e-mail yang terdaftar, program word
processing atau format ekstensi yang dipakai, dokumen spreedsheat yang dipakai,
format gambar yang dipakai apabila ditemukan, file-file yang dihapus maupun
diformat, password, registry windows, hidden files, log event viewers, dan log
application. Termasuk juga pengecekan pada metadata. Kebanyakan file mempunyai
metadata yang berisi informasi yang ditambahkan mengenai file tersebut seperti
computer name, total edit time, jumlah editing session, dimana dicetak, berapa kali
terjadi penyimpanan (saving), tanggal dan waktu modifikasi. Selanjutnya melakukan
recovery dengan mengembalikan file dan folder yang terhapus, unformat drive,
membuat ulang partisi, mengembalikan password, merekonstruksi ulang

14.Scalpel
Scalpel adalah sebuah tool forensik yang dirancang untuk mengidentifikasikan,
mengisolasi dan merecover data dari media komputer selama proses investigasi forensik.
Scalpel mencari hard drive, bit-stream image, unallocated space file, atau sembarang file
komputer untuk karakteristik, isi atau atribut tertentu, dan menghasilkan laporan
mengenai lokasi dan isi artifak yang ditemukan selama proses pencarian elektronik.
Scalpel juga menghasilkan (carves) artifak yang ditemukan sebagai file individual.

17