Kelompok 3
Fachry Hudaya M (12116438)
Rachma Chrysanti (15116899)
Syayu Hanana Y. Stefani (1B119024)
Usrip Ripando Lubis (17116484)
4KA16
BAB 5
Anti-forensik
Anti-forensik adalah tantangan besar yang dihadapi para ahli forensik cyber dengan para
penjahat cyber modern. Ini adalah kumpulan alat dan teknik yang digunakan untuk merusak,
menghapus, atau memodifikasi data yang menghalangi pemeriksaan forensik normal. Tindakan
anti-forensik yang dilakukan pada perangkat akan merusak integritas data dan dapat
membahayakan penyelidikan. Maksud umum dari alat anti-forensik sepenuhnya untuk maksud
jahat. Anti-forensik atau kontra-forensik bisa menjadi pilihan untuk mempertahankan diri dari
spionase karena pemulihan informasi oleh alat forensik dapat diminimalkan.
Tujuan dari anti-forensik adalah untuk secara signifikan mengurangi kualitas dan
kuantitas artefak forensik yang ada pada disk. Ini adalah upaya kuat oleh penjahat cyber untuk
membuat analisis forensik digital mimpi buruk dan sulit bagi penyelidik forensik. Dengan
demikian, penyelidikan forensik sehubungan dengan artefak digital yang dirusak dengan
aktivitas anti-forensik menimbulkan banyak tantangan.
Untuk alat atau teknik yang akan ditandai sebagai entitas anti-forensik, itu harus memenuhi
syarat dengan satu atau lebih kriteria berikut:
• Menyerang Data
• Menyerang Alat Forensik
• Menyerang Pekerjaan Investigator
Praktik Anti-forensik
Setelah mendapatkan tinjauan umum tentang anti-forensik , sekarang kita akan melihat metode
anti-forensik yang berbeda.
Pakar forensik dunia maya telah mengkategorikan berbagai teknik anti-forensik berdasarkan
fungsi mereka. Ini dikategorikan ke dalam empat kategori seperti yang ditunjukkan pada Gambar
5-1.
Teknik Anti-Forensik
Gambar 5-1. Teknik Anti-forensik
Alat yang akan kita gunakan untuk menyeka data adalah sebagai berikut:
• USB Oblivion - Utilitas ini dirancang untuk menghapus semua jejak drive yang
terhubung USB dan CD-ROM dari Registry di Windows.
• Eraser - Eraser adalah alat open source untuk Windows yang memungkinkan Anda
untuk menghapus data sensitif sepenuhnya dari hard drive Anda dengan menimpanya
beberapa kali dengan pola yang dipilih dengan cermat.
Alat alternatif:
• Disk Wipe - Ini adalah aplikasi Windows portabel open source untuk penghancuran
data volume permanen. Itu dapat menghapus semua data disk dan juga mencegah
pemulihan data tersebut.
Studi Kasus: USB Oblivion
Sistem Windows menyimpan catatan semua perangkat USB yang telah terhubung ke
komputer di masa lalu di Windows Registry. Kadang-kadang selama penyelidikan, informasi
tentang perangkat USB ini penting dalam menyelesaikan suatu kasus. Untuk menghapus jejak
perangkat USB yang terhubung, alat Oblivion USB dapat digunakan.
Studi Kasus : Penghapusan
Karyawan orang dalam yang bekerja di suatu organisasi telah berhasil menyalin beberapa
file rahasia ke pen drive USB 1 GB (dalam hal ini, 1,001) dari jaringan perusahaan dan
kemudian menyalinnya ke desktop, melihatnya, dan kemudian menghapus file menggunakan alat
Eraser. Bahkan setelah menghapus file, sistem operasi tidak menghapus file dari disk, itu
menghapus referensi file dari tabel sistem file. Sebelum file ini ditimpa, siapa pun dapat dengan
mudah mengambilnya dengan utilitas yang tidak terhapus atau pemeliharaan disk. Alat Eraser
digunakan untuk menghapus data sepenuhnya dengan menimpanya beberapa kali dengan pola
yang dipilih dengan cermat.
Trail Obfuscation
Jejak melibatkan penggunaan alat dan teknik dalam upaya untuk menyesatkan investigasi
dengan memanipulasi bukti. Penjahat dunia maya / Peretas tahu pentingnya membersihkan dan
membersihkan jejak mereka. Manipulasi bukti dilakukan untuk menyesatkan dan
membingungkan para penyelidik forensik. Penggunaan perangkat lunak Jaringan Pribadi Virtual
(VPN) seperti TunnelBlick, dll., Adalah contohnya.
Spoofing
Ini adalah trik yang sangat umum digunakan oleh peretas di mana mereka berpura-pura
menjadi orang lain dengan mengubah alamat IP dan MAC mereka. Mereka mungkin
menyembunyikan kredensial mereka dengan menipu beberapa nilai acak atau dengan nilai yang
ditentukan.
IP spoofing adalah hal yang biasa karena sangat mudah digunakan. Itu bisa dilakukan
dengan bantuan alat atau bahkan secara manual.
Spoofing Mac juga tidak terlalu sulit untuk digunakan, tetapi itu kurang umum. Dibutuhkan
spoofing selangkah lebih maju dengan menyembunyikan identitas perangkat ke tingkat yang
lebih optimal.
Modifikasi Data
Teknik ini melibatkan memanipulasi metadata dan timestamp data. Manipulasi sederhana
ini dapat membuat banyak penghalang dalam investigasi. Modifikasi timestamp yang sederhana
dapat memengaruhi analisis timeline suatu kasus.
Memanipulasi metadata juga sama-sama mengganggu, karena mungkin sepenuhnya
menghapus data signifikan forensik. Timestomp sangat penting dan penting dalam banyak
penyelidikan forensik. Ini adalah metadata yang mencatat informasi file yang mencakup waktu
dan tanggal pembuatan, modifikasi, dan akses file.
Studi Kasus: Timestomp
Seorang penyerang telah berhasil mengkompromikan Windows Server 2003 karena
kerentanan netapi yang ada di atasnya dan mendapat shell meterpreter menggunakan Metasploit
Framework, yang merupakan kerangka kerja pengujian pena sumber terbuka untuk
mengeksploitasi sistem pada berbagai platform. Dia kemudian mengubah cap waktu file untuk
membingungkan pengguna dan simpatisan.
Timestomp mengubah atribut MAC dari suatu file. Di sini MAC adalah singkatan dari
akses yang dimodifikasi dan tanggal pembuatan suatu file. Alat ini sebenarnya mengubah atribut
file tersebut untuk membuat kebingungan dalam proses investigasi.
Di sini, kami mengeksploitasi mesin Windows server 2003 menggunakan Metasploit
Framework di Kali Linux. Metasploit Framework adalah platform untuk mengeksekusi
eksploitasi. Kemudian kami meningkatkan hak istimewa dan mulai mengerjakan timestomp.
Enkripsi
Proses mengubah data yang terbaca menjadi data yang tidak terbaca adalah proses
kriptografi. Ini adalah metode anti-forensik pertama dan asli. Kriptografi membawa konsep
enkripsi kepada pengguna komputer. Dengan meningkatnya kekhawatiran tentang privasi,
enkripsi telah menjadi populer akhir-akhir ini. Bahkan produsen perangkat meluncurkan fitur
enkripsi dengan perangkat mereka agar pengguna dapat melindungi privasi mereka. Protokol dan
standar enkripsi canggih sedang dikembangkan untuk meningkatkan perlindungan privasi.
Untuk menunjukkan, kami akan menggunakan VeraCrypt, perangkat lunak enkripsi disk
sumber terbuka yang mendukung semua platform seperti Windows, Linux. dan macOS. Ini
digunakan untuk membuat disk terenkripsi virtual dalam file atau mengenkripsi partisi atau (di
Windows) seluruh perangkat penyimpanan dengan otentikasi pra-boot.
Sebagai pengguna korporat yang menggunakan laptop berbasis Windows di mana
komputer dibagikan oleh dua orang pada suatu waktu, beberapa dokumen rahasia perlu
disembunyikan dari pengguna lain. Di sini kita akan membuat folder aman yang hanya akan
muncul ketika drive sudah terpasang. Oleh karena itu, hanya dapat dilihat oleh pengguna yang
membuatnya.
1. Klik pada huruf apa saja Drive dan kemudian klik pada "Buat Volume" untuk memulai.
Di sini kami telah memilih drive E:, Anda dapat menggunakan drive apa pun yang Anda
pilih.
2. Pilih tempat Anda ingin membuat volume VeraCrypt. VeraCrypt membuat wadah
terenkripsi pada disk lokal, atau mengenkripsi seluruh perangkat.
3. Volume penampung file adalah file tunggal (yang mirip dengan file zip) dan dapat
digunakan untuk menyimpan beberapa file yang dienkripsi.
4. Partisi nonsystem adalah partisi hard disk yang dienkripsi menggunakan VeraCrypt.
Kami juga dapat Mengenkripsi seluruh hard disk atau perangkat penyimpanan lainnya.
5. Pilih apakah akan membuatVeraCrypt 'Standar' atau 'tersembunyi' Volume. Kami akan
memilih Volume VeraCrypt Standar .
6. Pilih lokasi file VeraCrypt, yang akan kita pasang nanti.
7. Selanjutnya, pilih algoritma enkripsi dan hash.
8. Selanjutnya, Pilih Kapasitas Penyimpanan Volume.
9. Masukkan Kata Sandi untuk program.
10. Ikuti pedoman di kotak dialog dan klik 'Format' saat diminta.
11. Pilih Partisi dari panel dan kemudianbaru dibuat pasang file VeraCrypt.
12. Ini akan menanyakan kata sandi yang Anda berikan pada langkah.
Menyembunyikan Data
Menyembunyikan data adalah praktik umum di kalangan peretas dan penyerang. Mereka
menyembunyikan data sensitif mereka di Host Protected Area (HPA), Slack space, dan Alternate
Data Streaming (ADS) karena area ini tidak termasuk dalam parameter pencarian apa pun.
Model OSI
Dirancang oleh Organisasi Internasional Standardisasi (ISO), model
Open Systems Interconnection (OSI) adalah konsep jaringan tujuh lapis yang
digunakan untuk mendefinisikan jaringan antar sistem. OSI dikembangkan
pada tahun 1984. Dibagi dalam dua kelompok: Lapisan Atas dan Bawah.
Lapisan atas fokus pada aplikasi pengguna dan representasi file sebelum
diangkut, lapisan bawah mengawasi komunikasi di seluruh jaringan.
Lapisan 1: Lapisan Fisik
Mulai dari bawah, ini adalah lapisan terendah dari model OSI, yang
berkaitan dengan transmisi dan penerimaan aliran bit mentah yang tidak
terstruktur melalui media fisik. Fungsinya yaitu pengkodean data dan
transmisi.
Lapisan 2: Lapisan Tautan Data
Lapisan ini menyediakan transfer frame data yang bebas dari
kesalahan antara node di atas lapisan fisik. Lapisan ini juga bertanggung
jawab untuk mengambil data dari lapisan atas dan mengubahnya menjadi bit
yang akan ditransfer melalui kabel fisik, dan sebaliknya. Ini dibagi menjadi
dua lapisan:
• Logical Link Control (LLC), menyediakan kontrol aliran dan kesalahan
ujung-ke-ujung, dan multiplexing protokol berbeda dari lapisan MAC pada
DLL.
• Media Access Control (MAC), menyediakan identifikasi pengalamatan yang
unik dan mekanisme kontrol akses saluran untuk node jaringan untuk saling
berkomunikasi.
Lapisan 3: Lapisan Jaringan
Teknologi peralihan dan perutean yang diperlukan untuk komunikasi
berlangsung di Lapisan Jaringan OSI. Lapisan ini bertanggung jawab untuk
mengelola informasi pengalamatan lokal dalam paket dan memastikan
pengiriman yang tepat ke tujuannya. Lapisan jaringan melakukan fungsi
perutean, fragmentasi, pemasangan kembali, dan bahkan melaporkan
kesalahan pengiriman.
• IP (Internet Protocol)
• RIP (Routing Information Protocol)
• OSPF (Open Shortest Path First)
• IPX (Internetwork Packet exchange)
Lapisan 4: Lapisan Transport
Lapisan keempat dari model OSI bertanggung jawab untuk transfer
data transparan antara pengguna akhir dan juga transfer data untuk lapisan
atas. Transport Control Protocol (TCP) dan User Datagram Protocol (UDP)
beroperasi pada lapisan ini dan menggunakan Nomor Port untuk
mengaktifkan multiplexing dan de-multiplexing. Setiap flag TCP berukuran 1
bit. Beberapa flag TCP adalah sebagai berikut:
1. SYN - Synchronization Flag
2. ACK - Acknowledgement Flag
3. FIN - Finish Flag
4. URG - Urgent Flag
5. PSH - Push Flag
6. RST - Reset Flag
7. ECE - This Flag
8. CWR - Flag Congestion Window Reduced
9. NS - Nonce Sum Flag
Lapisan 5: Lapisan Sesi
Lapisan kelima OSI membuat, mengelola, dan mengakhiri sesi antar
aplikasi di setiap ujung. Lapisan Sesi bertanggung jawab untuk
mengoordinasikan permintaan dan respons layanan antara aplikasi dan host.
Ada tiga jenis koneksi di Lapisan Sesi: Simplex, Half Duplex, Full Duplex
Lapisan 6: Lapisan Presentasi
Lapisan Presentasi adalah lapisan keenam dari model OSI dan
bertanggung jawab untuk representasi data karena mengontrol
pemformatan dan sintaksis data pengguna. Fitur utama dari lapisan ini
termasuk representasi data, kompresi, dan keamanan. Lapisan ini
mengenkripsi, mengompres, dan mendekripsi data yang dikirim dan diterima
melalui jaringan.
Lapisan 7: Lapisan Aplikasi
Ini adalah lapisan terakhir dan paling atas dari model OSI. Lapisan ini
menyediakan antarmuka bagi pengguna untuk berinteraksi dengan jaringan
dengan bantuan aplikasi perangkat lunak. FTP, HTTP, dan Telnet beroperasi
pada Lapisan Aplikasi. Layanan aplikasi seperti transfer file, email,
penjelajahan internet, dan layanan lainnya disediakan oleh Lapisan Aplikasi.
Jejak Kaki Forensik
Dalam forensik jaringan, para penyelidik memiliki tugas menjelajahi
internet untuk mendapatkan jejak peretas / penyerang. Data bergerak dalam
bentuk paket di dunia maya, dan paket ini menyimpan informasi yang
sangat berharga seperti sumber, tujuan, dan konten. Jika peretas /
penyerang kejahatan yang terkait dengan jaringan mungkin meninggalkan
jejak, penyelidik perlu menganalisisnya. Jejak semacam itu juga disebut jejak
kaki.
Penyitaan Perangkat Jaringan
Perangkat jaringan harus ditangani dengan hati-hati. Jaringan ini berisi
data penting yang berguna dalam penyelidikan kasus cybercrime. Langkah-
langkah yang harus diikuti untuk menyelidiki perangkat seperti Firewall,
sakelar L3, Intrusion Prevention Systems (IPS), dll., sebagai berikut:
1. Matikan perangkat dan matikan catu dayanya.
2. Lepaskan koneksi kabel dan kemas perangkat ini dalam bahan kemasan
antistatis yang tepat.
3. Isi formulir lacak balak yang merupakan formulir dokumentasi resmi yang
digunakan oleh lembaga penegak hukum beserta semua sejarah kronologis
bukti elektronik.
Apa yang perlu kita cari di Perangkat Jaringan seperti Firewall adalah sebagai
berikut:
• Lalu lintas diizinkan dan diblokir di firewall.
• Penggunaan bandwidth&protokol seperti penggunaan CPU yang tinggi dan
melampaui batas.
• Bytes yang ditransfer (file besar) jika ada.
• Kegiatan serangan yang terdeteksi seperti serangan yang datang dari
sumber.
• Akses administrator seperti upaya gagal yang masuk.
Artefak Jaringan Forensik
Artefak forensik yang terkait dengan jaringan dan komunikasi
termasuk dalam kategori Artefak Jaringan Forensik.
1. Dynamic Host Configuration Protocol (DHCP)
2. Network Time Protocol (NTP)
3. Domain Name Server (DNS)
4. Web Proxy logs
5. Firewall
6. Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS)
Artefak Jaringan Forensik juga menyertakan bukti dari firewall berbasis
perangkat lunak dan klien surat seperti MS Outlook dan Outlook Express,
Eudora, dll.
Serangan ICMP
ICMP atau Internet Control Messaging Protocol milik keluarga protokol
IP. Ini adalah protokol tanpa koneksi, dan tidak menggunakan nomor port
apa pun. Digunakan untuk diagnostik, pelaporan kesalahan, dan permintaan
server web. Karena ICMP tidak membawa data dan biasanya membawa
pesan kesalahan pengingat dan laporan balasan pesan sering diabaikan oleh
firewall. Oleh karena itu, peretas menggunakan ICMP untuk mengirim
muatan.
ICMP Sweep Attack
Serangan Sweep ICMP digunakan untuk memindai jaringan target
untuk menemukan host yang rentan untuk penyelidikan lebih lanjut dan
serangan kemungkinan. Ini melibatkan pengiriman banyak permintaan ICMP
- yang memerlukan balasan, ke jaringan target dan mencari tahu dari daftar
balasan ICMP, apakah host yang dipilih masih hidup dan terhubung ke
jaringan target.
Serangan Traceroute
Traceroute adalah perintah yang digunakan untuk menemukan rute
yang diambil paket saat bepergian ke tujuan mereka dan digunakan untuk
menentukan topologi jaringan. Traceroute mengirimkan serangkaian paket
dengan set nilai TTL (Time to Live) yang meningkat.
Serangan Pemetaan Balik
Ini adalah teknik yang digunakan untuk memetakan jaringan internal
atau host yang dilindungi oleh firewall atau perangkat penyaringan lainnya.
Dalam serangan ini, peretas mengirim pesan balasan ICMP ke berbagai
alamat IP, mengingat mereka dilindungi.
ICMP Smurf Attack
Dalam Smurf Attack, peretas akan menipu alamat sumber paket ICMP
dan akan menyiarkan permintaan gema ICMP ke semua komputer di
jaringan. Sebagai imbalannya, sistem host akan menanggapi kembali
permintaan ICMP, menciptakan banjir pesan yang menyebabkan degradasi
jaringan sistem korban. Ini akan menghasilkan serangan Denial of Service
(DoS), yang akan membuat target dengan membanjiri atau menabraknya,
sehingga membuatnya benar-benar tidak dapat diakses oleh siapa pun.
Unduhan Drive-By
Belakangan ini, serangan unduhan drive-by telah menjadi metode
masuk peretas untuk menyebarkan malware. Pertama, peretas membajak
situs web tidak aman dan menanamkan skrip berbahaya mereka ke dalam
kodenya. Dibandingkan dengan serangan lain di mana pengguna perlu
mengunduh file yang terinfeksi malware, di sini yang perlu dilakukan
pengguna adalah mengunjungi situs web yang terinfeksi. Ini adalah jenis
serangan browser sisi klien yang mengekspos kerentanan lapisan aplikasi.
Peretas menggunakan kode laman web untuk menemukan titik sempurna
untuk menyuntikkan skrip mereka, yaitu pop-up iklan.
Wireshark
Wireshark adalah penganalisa protokol jaringan open source paling populer. Alat multi
platform ini adalah alat serbaguna dengan sejumlah besar fitur. Ini secara efisien memeriksa
berbagai protokol, menangkap paket, dan membantu dalam pemeriksaan dan analisis. Ini
memiliki GUI yang sangat rinci dan mudah digunakan serta tshark utilitas baris perintah. GUI
memiliki filter tampilan yang kuat yang memungkinkan penyaringan data yang lebih baik dan
menghemat waktu. Analisis VoIP juga didukung dalam Wireshark Wireshark mampu membaca
dan menulis berbagai format penangkapan seperti Pcap, tcpdump, Cisco IDS iplog, Microsoft
Network Monitor, dll.
Studi Kasus: Wireshark
Di sini kita sedang melakukan penemuan pola dan analisis dengan mencoba menemukan
jejak malware menggunakan teknik ukiran File. Untuk tahap Resolution dan backtracing, kami
akan mengekstrak file yang dapat dieksekusi menggunakan Wireshark dan menggunakan Hex
editor untuk menghapus karakter ASCII yang tidak diinginkan dari file yang dapat dieksekusi
yang ada dalam file pcap, yaitu filee.pcap. Ukiran file adalah proses pengelompokan ulang file
komputer dari fragmen dengan tidak adanya metadata filesystem.
1. Buka Wireshark
2. Buka File ➤ Buka. Buka filee.pcap (yang merupakan tangkapan langsung pcap) untuk di
analisis (Figure 6-2).
3. Ketik http.request.method == "DAPATKAN" di kotak filter untuk mendapatkan semua
permintaan dalam tangkapan paket dan klik Terapkan.
4. Pergi ke paket yang diinginkan dan klik kanan pada salah satu dari mereka. Di sini telah
dipilih paket no 299 (Pergi ke paket no 299), Pilih opsi dan klik "Ikuti TCP Stream."
Format yang dapat dieksekusi MZ adalah file yang dapat dieksekusi yang digunakan
untuk file .exe di DOS. Berdasarkan output, disimpulkan adalah file .exe dan menduga
itu berbahaya.
5. Klik "Save As" dan simpan file sebagai filee.exe karena file tersebut adalah file yang
dapat dieksekusi Microsoft dengan tanda tangannya file.
6. Sekarang buka file di Bless Hex Editor (Figure 6-5). Bless adalah open source, editor
biner heksadesimal berfitur lengkap, sebuah program yang memungkinkan untuk
mengedit file sebagai urutan byte yang ditulis untuk Desktop GNOME (sistem operasi
mirip Unix).
7. Hapus tajuk Dapatkan permintaan dari file dengan menekan delete pada karakter ASCII
yang tidak diinginkan (Figure 6-6).
8. Setelah menghapus tajuk permintaan GET, simpan file dengan membuka File ➤ Save
9. Verifikasi file. Ubuntu mengenali file ini sebagai file Windows Executable.
10. Sekarang memindahkan file 1.exe dengan www.virustotal.com.) Virus Total adalah
portal online gratis yang menganalisis file dan URL untuk mendeteksi virus, worm,
Trojans, dan jenis konten atau program jahat lainnya menggunakan berbagai mesin
vendor antivirus dan pemindai situs web. Total Virus telah menemukan Trojan yang
merupakan program jahat pada file 1.exe.
Network Miner
Dikembangkan oleh NETRESEC pada 2007, Network Miner adalah alat Analisis
Jaringan open source yang merupakan alat yang mampu menangkap paket / sniffer jaringan
pasif. Itu dapat mendeteksi sistem operasi, membuka port, sesi, dll, tanpa mengirim lalu lintas di
jaringan. Network Miner dapat mengurai file PCAP untuk analisis offline dan untuk regenerasi
file dan sertifikat yang dikirimkan. Network Miner hadir dalam dua versi: gratis dan profesional;
ada beberapa batasan dari versi gratisnya. Network Miner memiliki antarmuka pengguna yang
minimal namun ramah pengguna. File pcap diuraikan dan analisisnya sederhana.
Di sini telah menggunakan lalu lintas jaringan yang ditangkap untuk analisis (RM-
07072011.pcap), yang di analisis menggunakan Network Miner untuk memeriksa berbagai
aktivitas jaringan. Melakukan semua pada Security Onion, yang merupakan distro Linux open
source yang dibangun di Ubuntu. Dapat digunakan untuk deteksi intrusi, pemantauan keamanan
perusahaan, manajemen log, dll. Muncul dengan banyak alat sumber terbuka untuk analisis
forensik.
1. Buka Network Miner. Arahkan ke File ➤ Buka dan pilih tangkapan paket yang ingin di
analisis (Figure 6-9). Di sini menggunakan file RM-07072011.pcap untuk di analisis.
2. Network Miner melakukan pre-sort IP berdasarkan rinciannya: misalnya, sistem operasi,
alamat MAC, data yang dikirim dan diterima, dll..
3. Navigasikan ke IP dan lihat detail yang disediakan.
4. Jelajahi semua submenu IP (di sini 192.168.40.65). Di sini dapat di lihat bahwa sistem
Operasi yang digunakan adalah Windows. Kita juga dapat melihat Port TCP terbuka,
Data Terkirim dan Diterima, serta Sesi.
5. Klik pada tab File untuk melihat semua file yang diekstraksi dari Network Capture yang
diukir oleh Network Miner.
6. Klik pada tab Image untuk melihat semua gambar yang dapat diukir oleh Network Miner
dari tangkapan jaringan.
7. Klik Kredensial untuk melihat semua yang diukir dari tangkapan jaringan. Di sini kita
dapat melihat situs web Facebook diakses. Di beberapa perusahaan, mengakses Facebook
selama jam kerja bisa menjadi pelanggaran kebijakan.
8. Klik pada tab DNS untuk melihat semua permintaan DNS yang dibuat dalam paket
capture ini dengan Client dan Server Ports, waktu, dan Sumber yang Relevan dan Alamat
IP Tujuan (Figure 6-16).
9. Navigasikan kembali ke tab File, pilih file apa saja, dan klik kanan padanya. Network
Miner menyediakan opsi untuk membuka file yang dipilih atau folder tempat
penyimpanannya.
10. Di sini kami telah membuka satu file JavaScript yang memberi kami detail tentang profil
Facebook yang dikunjungi.
Xplico
Xplico dikembangkan dengan satu tujuan dalam pikiran dan itu adalah ekstraksi data
aplikasi. Itu dikelola oleh Gianluca Costa dan Andrea de Franceschi. Ia menggunakan Port
Independent Protocol Identification (PIPI) untuk setiap protokol aplikasi. Secara otomatis dapat
mem-parsing dan menganalisis file pcap, yang menghemat waktu dan merupakan fitur yang
efisien. Ini menyajikan data dalam grafik dan tabel yang rapi, yang membantu para ahli dalam
analisis. Mari kita lihat sebuah skenario contoh: direktur TI suatu perusahaan telah mengamati
bahwa penggunaan internet di seluruh perusahaan telah meningkat pesat belakangan ini dan
menemukan bahwa beberapa orang telah mengunduh file yang tidak perlu menggunakan internet
kantor. Untuk menemukan penyebabnya, dia menugaskan penyelidik untuk memeriksa dan
mengelola log jaringan. Sebagai penyelidik forensik, bagaimana menganalisis log ini sebagai
bukti selama insiden keamanan.
Kami akan menggunakan DEFT, distro berbasis Linux open source yang memiliki
banyak alat forensik open source yang sudah diinstal sebelumnya. Tujuannya adalah
menggunakan Xplico untuk menganalisis jaringan. Kami telah menggunakan tangkapan jaringan
langsung yang disimpan dalam file RM-07072011.pcap untuk analisis menggunakan xplico.
Jika xplico tidak diunduh di sistem ,maka unduh dengan mengetik perintah:
sudo apt-get install xplico
Sebelum memulai xplico, harus memulai server apache. Untuk memulai server apache, ketik:
sudo service apache2 mulai
Kemudian, mulai xplico dengan mengetik:
sudo /etc/init.d/xplico
Ini akan memulai xplico dan basis datanya di latar belakang.
1. Buka Xplico Web Interface dengan masuk ke DEFT (Start) ➤ DEFT ➤ Network Forensics
➤ Xplico.
2. Setelah sukses Log In, klik New Case.
3. Ketikkan nama yang ingin digunakan pada bagian Case Name. Klik Pada Create untuk
membuat case.
4. Sekarang klik tautan "Nama Kasus" yang di buat.
5. Sekarang klik pada tab "Sesi Baru" untuk membuat sesi baru.
6. Ketikkan nama Sesi untuk menyederhanakan proses penyortiran saat melakukan analisis
beberapa sesi.
7. Sekarang klik "Nama Sesi" untuk menambahkan lalu lintas jaringan.
Setelah mengklik "Nama Sesi" berikutnya akan ke halaman di mana dapat
menambahkan lalu lintas jaringan untuk analisis.
8. Klik "Browse" untuk menambahkan file capture jaringan, dan kemudian klik "Upload"
setelah memilih file Network Capture. Di sini kami telah mengunggah file RM-
07072011.pcap.
9. Tunggu hingga decoding selesai, yang dilambangkan dengan notifikasi "DECODING
COMPLETED".
10. Bidang di bawah ini diisi oleh data yang dianalisis untuk tinjauan umum data yang cepat.
11. Klik pada tab "DNS" di bawah opsi "Grafik" untuk melihat data DNS.
12. Demikian pula, dapat dilihat data Arp. Klik tautan "Arp" di bawah opsi "Graphs" untuk
melihat data Arp. Ini menunjukkan alamat MAC dan alamat IP dengan tanggal dan waktu.
13. Klik pada tab HTML di bawah opsi Web untuk melihat lalu lintas HTML.
14. Klik LIHAT di pesawat Permintaan HTTP untuk melihat permintaan GET HTTP pengguna
yang sebenarnya.
15. Klik LIHAT di pesawat Respons HTTP untuk melihat respons HTTP SERVER.
16. Klik tautan "Gambar" di bawah "Web" untuk melihat semua file gambar yang dikirim
selama waktu pengambilan jaringan ini; dengan kata lain, saat memperoleh tangkapan file
pcap.
17. Klik pada tab TCP-UDP di bawah Undecoded untuk melihat semua URL yang dikunjungi,
nomor port, timing, dan protokol mana yang digunakan. Di sini kita dapat melihat protokol
yang digunakan tidak dikenal dan karenanya bisa berbahaya.
KESIMPULAN