0 penilaian0% menganggap dokumen ini bermanfaat (0 suara)
6 tayangan13 halaman
Teks tersebut membahas tentang forensik digital khususnya teknik file carving dan identifikasi jenis file. Teks menjelaskan cara mengidentifikasi jenis file melalui ekstensi atau header file, serta menggunakan perintah Linux seperti file, binwalk, dan foremost untuk melakukan identifikasi dan ekstraksi file yang telah digabung atau dimodifikasi.
Teks tersebut membahas tentang forensik digital khususnya teknik file carving dan identifikasi jenis file. Teks menjelaskan cara mengidentifikasi jenis file melalui ekstensi atau header file, serta menggunakan perintah Linux seperti file, binwalk, dan foremost untuk melakukan identifikasi dan ekstraksi file yang telah digabung atau dimodifikasi.
Teks tersebut membahas tentang forensik digital khususnya teknik file carving dan identifikasi jenis file. Teks menjelaskan cara mengidentifikasi jenis file melalui ekstensi atau header file, serta menggunakan perintah Linux seperti file, binwalk, dan foremost untuk melakukan identifikasi dan ekstraksi file yang telah digabung atau dimodifikasi.
FAKULTAS TEKNIK UNIVERSITAS UDAYANA 2019 1. Forensic File Signature dan Identifikasi dan File Carving File dapat dibagi menjadi 2 yaitu file text dan file binary. File text merupakan file yang berisikan karakter ASCII. Dimana karakter yang digunakan mulai dari heksa 20 sampai dengan heksa 7e. Salah satu contoh dari file text adalah file yang memiliki ekstensi .txt. Sedangkan file binary merupakan file berisikan kumpulan angka binary. File binary dapat ditemukan pada file video, jpg, png, pdf dan lain sebagainya. Melakukan identifikasi dari jenis file dapat dilakukan dengan dua cara yaitu, mengidentifikasi melalui extensi dari file atau melalui header file. 1) Extensi File Identifikasi jenis file melalui extensi dari file tersebut biasanya dipakai oleh sistem operasi windows. Namun. Melakukan identifikasi file menggunakan extensi file dari file tersebut biasanya kurang akurat, dikarenakan ekstensi dari file dapat diubah-ubah dengan mudah. Contoh dari beberapa ekstensi file adalah .png, .pdf, .jpeg dan lain sebagainya. 2) Header File/Magic Bytes Identifikasi jenis file melalui header file biasanya dipakai menggunakan sistem operasi Linux. Identifikasi menggunakan metode ini tidak hanya melalui extensi dari file tersebut, tetapi juga dari kontennya. Header file juga disebut dengan signature. Setiap jenis file memiliki signature yang berbeda-beda. Signature ini akan berada pada bagian pertama dari konten atau disebut juga dengan header. Contohnya adalah file JPEG terdapat ciri khas yang diawali dengan JFIF atau dalam Hex Signature adalah FF D8 FF E0 00 10 4A 46 49 46 00 01. Contoh lain adalah file PNG yang diawali dengan PNG atau dalam
Hex Signature adalah 89 50 4E 47 0D 0A 1A 0A. Berikut merupakan contoh dari
tampilan isi file JPEG. Gambar 1 JPEG Signature Gambar 1 merupakan tampilan dari JPEG Signature. Dapat dilihat bahwa header dari file JPEG adalah JFIF atau FF D8 FF E0 00 10 4A 46 49 46 00 01. Linux mempunyai sebuah utility yang dapat digunakan untuk mengidentfikasi jenis file dari segi kotennya atau berdasarkan dari signature dari file tersebut. Utility ini dapat mengidentfikasi jenis file meskipun file tersebut tidak memiliki ekstensi. Utiliti yang digunakan adalah utility file. Contoh dari penggunaan utility file adalah sebagai berikut. Gambar 2 Utility File dengan Extensi Gambar 2 merupakan percobaan menggunakan utility file untuk mengidentifikasi jenis file, dimana file tersebut telah memiliki extensi sebelumnya. Berdasarkan gambar 1, didapat bahwa logo-ipb.jpg merupakan file JPEG. Berikut merupaka contoh dari penggunaan utility file untuk mengidentifikasi jenis file yang tidak memiliki ekstensi.
Gambar 3 Utility File tanpa Extensi
Gambar 3 merupakan contoh dari penggunaan utility file untuk mengidentifikasi file yang tidak memiliki ekstensi. Hasil yang didapatkan, file logo-ipb merupakan jenis file JPEG. Signature file selalu berada di awal atau terdapat pada header. Apabila terdapat modifikasi terhadap file binary dari file tersebut, yang mengakibatkan signature file-nya tidak berada diawal, maka ketika file tersebut diidentifikasi menggunakan utility file pada Linux, file tersebut tidak akan dapat diidentifikasi. Contoh dari file yang telah dimodifikasi lalu diidentifikasi menggunakan utility file adalah sebagai berikut.
Gambar 4 Header File Dimodifikasi
Gambar 4 merupakan salah satu contoh penggunaan utility file pada suatu file dimana file tersebut, letak signature atau header-nya telah dimodifikasi sebelumnya, sehingga signature pada file tersebut tidak berada dibagian awal. Dari hasil yang didapatkan, file logo-ipb.png dibaca sebagai data, meskipun file tersebut memiliki ekstensi .png. Hal ini dikarenakan, signature dari file tersebut telah di modifikasi sebelumnya. Untuk mengatasi masalah ini, dapat dilakukan File Carving. File carving berfungsi untuk mengekstrasi file yang telah dimodifikasi sebelumnya. Secara manual, file carving dapat dilakukan dengan cara mencari letak header file-nya dan memidahkan header file tersebut ke bagian paling awal. Melakukan file carving juga dapat dilakukan dengan cara menggunakan utility binwalk. Utility binwalk ini akan melakukan pencarian pada file binary, dimana hasil dari pencarian ini akan disesuaikan dengan signature dari tiap-tiap jenis file. Contoh dari penggunaan dari utility binwalk adalah sebagai berikut. Gambar 5 Penggunaan Binwalk Gambar 5 merupakan contoh dari penggunaan dari utility binwalk pada file PNG, dimana letak dari header atau signaturenya telah dimodifikasi sebelumnya. Linux dapat melakukan penggabungan beberapa jenis file. Penggabungan beberapa jenis file ini dapat menggunakan utility cat. Contoh dari penggunaan utility cat adalah sebagai berikut.
Gambar 6 Penggunaan Utility Cat
Gambar 6 merupakan tampilan dari contoh penggunaan utility cat yang digunakan untuk menggabungkan tiga jenis file yaitu file PNG, WAV dan ZIP. Hasil dari penggabungan dari ketiga file tersebut selanjutnya disimpat kedalam file bernama campur. Apabila file yang digabungkan ingin dilakukan identifikasi terhadapat file-nya menggunakan utility file, maka file tersebut akan memiliki jenis file sesuai dengan dengan header file yang berada paling atas. Pada contoh diatas, dikarenakan file PNG berada paling atas, maka file capur akan diidentifikasi sebagai file PNG, dikarenakan utility file hanya mengidentifikasi header pertamanya saja. Berikut merupakan tampilan dari mengidentifikasi file campur menggunakan utility file.
Gambar 7 Identifikasi File Gabungan
Gambar 7 merupakan contoh dari melakukan identifikasi terhadap file yang telah digabung menggunakan utility file. Hasil yang didapatkan adalah file tersebut merupakan jenis file PNG. Hal ini dikarenakan header dari file PNG berada paling awal. Untuk mengidentifikasi file-file lain yang juga tergabung dalam file campuran dapat menggunakan utility binwalk. Contoh dari penggunaan utility binwalk pada file campur adalah sebagai berikut. Gambar 8 Penggunaan Binwalk pada File Gabungan Gambar 8 merupakan tampilan dari penggunaan utility binwalk untuk mengidentifikasi jenis file pada file-file gabungan. Dari hasil yang didapatkan, terdapat dua file yang dapat diidentfikasi, yaitu file PNG dan file ZIB. Berikut merupakan tampilan dari isi file dari file campur.
Gambar 9 Header File Campur
Gambar 9 merupakan tampilan dari isi dari file campur. Dimana terlihat bahwa pada file campur, signature dari jenis file PNG berada paling awal. Selajutnya diikuti oleh signature dari file WAV lalu yang terakhir adalah signature dari file ZIP. Binwalk digunakan untuk mengidentifikasi header file. Khusus untuk melakukan ekstrasi file, dapat menggunakan program foremost. Contoh dari penggunaan dari program foremost adalah digunakan untuk mengekstrasi file campur, dimana hasil yang diiginkan adalah berupa file- file yang digabungkan. Berikut merupakan tampilan dari penggunakan foremost.
Gambar 10 Penggunaan Foremost pada File Campur
Gambar 10 merupakan tampilan dari penggunaan utility foremost. Hasil yang didapatkan adalah berupa folder output, diman folder output tersebut akan berisi file-file apasaja yang telah digabungkan. File yang dapat di-recover menggunakan foremost tidak 100% sempurna. Adakalanya hanya beberapa file saja yang berhasil di-recovery. File yang berhasil di-recovery tidak seutuhnya sama. Apabila file-file yang digabungkan tidak memiliki footer, maka kemungkinan ketika file tersebut di-recovery, tidak akan sama persis dengan aslinya, karena terdapat beberapa bytes yang tidak terambil. Selain itu, file yang digabungkan tidak dapat di- recovery juga kemungkinan dikarenakan file tersebut berukuran sangat kecil sehingga tidak berhasil di-recover oleh foremost.
2. Pembahasan Soal File Carving
Terdapat dua buah soal yang dibahas yang berasal dari PicoCTF 2014 kategori Easy Forensic. Terdapat dua file yang diberikan yaitu file disk.img dan file image.png. Langkah pertama yang dilakukan adalah mengindetifikasi file image.png menggunakan utility file dan utility binwalk. Berikut merupakan tampian dari menggunakan utility file dan utility binwalk. Gambar 11 Menggunakan Utility File dan Utility Binwalk Gambar 11 merupakan tampilan dari penggunaan utility file dan binwalk. Hasil yang didapatkan adalah pada bagian utility file, diidentifikasi file tersebut merupakan file PNG. Sedangkan dengan utility binwalk, file tersebut terdapat dua gabungan file, yaitu PNG dan 7-ZIP. Selanjutnya menggunakan utility foremost untuk mengekstrasi file image.png. Berikut merupakan tampilan dari menggunakan utility foremost.
Gambar 12 Menggunakan Utility Foremost
Gambar 12 merupakan tampilan untuk menggunakan utility foremost pada file image.png. Hasil yang didapatkan adalah bahwa utility foremost hanya dapat mengekstraksi satu file saja yaitu file .png sedangan file 7ZIP tidak ada terekstraksi. Cara selajutnya yang dilakukan adalah dengan membacar letak dari tiap bytes. Berikut merupakan tampilan dari langkah selanjutnya.
Gambar 13 Membaca Bytes
Gambar 13 merupakan tampilan untuk membaca file dari image.png. Dimana file yang dibaca mulai dari bytes 1548 dengan input file berupa image.png dan output file berupa data.7z. Dari file .7zip yang telah didapatkan, berisi berupa string yang digunakan sebagai flag. Berikut merupakan tapilan dari string yang telah didapatkan.
Gambar 14 String yang Didapatkan
Gambar 14 merupakan tampilan dari string yang diapatkan dari file image.png. Selanjutnya adalah melakukan identifikasi terhadapat file disk.img. Berikut merupakan tamilan dari mengidentifikasi file disk.png.
Gambar 15 Mengidentifikasi File Disk
Gambar 15 merupakan tampilan dari setelah dilakukan identifikasi menggunakan utility binwalk. Hasil yang didapatkan berupa 5 buah file JPEG. Selanjutnya melakukan ekstraksi terhadap file disk.img menggunakan utility foremost. Berikut merupakan tampilan dari melakukan ekstrasksi menggunakan utility foremost.
Gambar 16 Melakukan Foremost
Gambar 16 merupakan tampilan yang digunakan untuk melakukan ekstraksi terhadapt file disk.img menggunakan utility formost. Hasil yang didapatkan adalah berupa lima buah file JPEG, dimana salah satu file-nya berisi tulisan sebagai berikut.
Gambar 17 Hasil Gambar 17 merupakan hasil yang didapatkan yaitu berupa gambar yang berisi tulisan yang disimpan pada file disk.img