IT FORENSIC (A)

“Review Video Cyber Security IPB”

Oleh :
Ni Made Meriliana Candra Devi
1705551022

PROGRAM STUDI TEKNOLOGI INFORMASI

FAKULTAS TEKNIK
UNIVERSITAS UDAYANA
2019
1. Forensic File Signature dan Identifikasi dan File Carving
File dapat dibagi menjadi 2 yaitu file text dan file binary. File text merupakan file yang
berisikan karakter ASCII. Dimana karakter yang digunakan mulai dari heksa 20 sampai dengan
heksa 7e. Salah satu contoh dari file text adalah file yang memiliki ekstensi .txt. Sedangkan file
binary merupakan file berisikan kumpulan angka binary. File binary dapat ditemukan pada file
video, jpg, png, pdf dan lain sebagainya. Melakukan identifikasi dari jenis file dapat dilakukan
dengan dua cara yaitu, mengidentifikasi melalui extensi dari file atau melalui header file.
1) Extensi File
Identifikasi jenis file melalui extensi dari file tersebut biasanya dipakai oleh sistem operasi
windows. Namun. Melakukan identifikasi file menggunakan extensi file dari file tersebut
biasanya kurang akurat, dikarenakan ekstensi dari file dapat diubah-ubah dengan mudah.
Contoh dari beberapa ekstensi file adalah .png, .pdf, .jpeg dan lain sebagainya.
2) Header File/Magic Bytes
Identifikasi jenis file melalui header file biasanya dipakai menggunakan sistem operasi
Linux. Identifikasi menggunakan metode ini tidak hanya melalui extensi dari file tersebut,
tetapi juga dari kontennya. Header file juga disebut dengan signature. Setiap jenis file
memiliki signature yang berbeda-beda. Signature ini akan berada pada bagian pertama
dari konten atau disebut juga dengan header. Contohnya adalah file JPEG terdapat ciri
khas yang diawali dengan JFIF atau dalam Hex Signature adalah FF D8 FF E0 00 10
4A 46 49 46 00 01. Contoh lain adalah file PNG yang diawali dengan PNG atau dalam

Hex Signature adalah 89 50 4E 47 0D 0A 1A 0A. Berikut merupakan contoh dari

tampilan isi file JPEG.
 Gambar 1 JPEG Signature
Gambar 1 merupakan tampilan dari JPEG Signature. Dapat dilihat bahwa header dari
file JPEG adalah JFIF atau FF D8 FF E0 00 10 4A 46 49 46 00 01.
Linux mempunyai sebuah utility yang dapat digunakan untuk mengidentfikasi jenis file
dari segi kotennya atau berdasarkan dari signature dari file tersebut. Utility ini dapat
mengidentfikasi jenis file meskipun file tersebut tidak memiliki ekstensi. Utiliti yang digunakan
adalah utility file. Contoh dari penggunaan utility file adalah sebagai berikut.
 Gambar 2 Utility File dengan Extensi
Gambar 2 merupakan percobaan menggunakan utility file untuk mengidentifikasi jenis
file, dimana file tersebut telah memiliki extensi sebelumnya. Berdasarkan gambar 1, didapat bahwa
logo-ipb.jpg merupakan file JPEG. Berikut merupaka contoh dari penggunaan utility file untuk
mengidentifikasi jenis file yang tidak memiliki ekstensi.

Gambar 3 Utility File tanpa Extensi

 Gambar 3 merupakan contoh dari penggunaan utility file untuk mengidentifikasi file yang
tidak memiliki ekstensi. Hasil yang didapatkan, file logo-ipb merupakan jenis file JPEG.
Signature file selalu berada di awal atau terdapat pada header. Apabila terdapat
modifikasi terhadap file binary dari file tersebut, yang mengakibatkan signature file-nya tidak
berada diawal, maka ketika file tersebut diidentifikasi menggunakan utility file pada Linux, file
tersebut tidak akan dapat diidentifikasi. Contoh dari file yang telah dimodifikasi lalu diidentifikasi
menggunakan utility file adalah sebagai berikut.

Gambar 4 Header File Dimodifikasi

Gambar 4 merupakan salah satu contoh penggunaan utility file pada suatu file dimana file
tersebut, letak signature atau header-nya telah dimodifikasi sebelumnya, sehingga signature pada
file tersebut tidak berada dibagian awal. Dari hasil yang didapatkan, file logo-ipb.png dibaca
sebagai data, meskipun file tersebut memiliki ekstensi .png. Hal ini dikarenakan, signature dari
file tersebut telah di modifikasi sebelumnya. Untuk mengatasi masalah ini, dapat dilakukan File
Carving. File carving berfungsi untuk mengekstrasi file yang telah dimodifikasi sebelumnya.
Secara manual, file carving dapat dilakukan dengan cara mencari letak header file-nya dan
memidahkan header file tersebut ke bagian paling awal. Melakukan file carving juga dapat
dilakukan dengan cara menggunakan utility binwalk. Utility binwalk ini akan melakukan pencarian
pada file binary, dimana hasil dari pencarian ini akan disesuaikan dengan signature dari tiap-tiap
jenis file. Contoh dari penggunaan dari utility binwalk adalah sebagai berikut.
 Gambar 5 Penggunaan Binwalk
Gambar 5 merupakan contoh dari penggunaan dari utility binwalk pada file PNG, dimana
letak dari header atau signaturenya telah dimodifikasi sebelumnya.
Linux dapat melakukan penggabungan beberapa jenis file. Penggabungan beberapa jenis
file ini dapat menggunakan utility cat. Contoh dari penggunaan utility cat adalah sebagai berikut.

Gambar 6 Penggunaan Utility Cat

Gambar 6 merupakan tampilan dari contoh penggunaan utility cat yang digunakan untuk
menggabungkan tiga jenis file yaitu file PNG, WAV dan ZIP. Hasil dari penggabungan dari ketiga
file tersebut selanjutnya disimpat kedalam file bernama campur. Apabila file yang digabungkan
ingin dilakukan identifikasi terhadapat file-nya menggunakan utility file, maka file tersebut akan
memiliki jenis file sesuai dengan dengan header file yang berada paling atas. Pada contoh diatas,
dikarenakan file PNG berada paling atas, maka file capur akan diidentifikasi sebagai file PNG,
dikarenakan utility file hanya mengidentifikasi header pertamanya saja. Berikut merupakan
tampilan dari mengidentifikasi file campur menggunakan utility file.

Gambar 7 Identifikasi File Gabungan

Gambar 7 merupakan contoh dari melakukan identifikasi terhadap file yang telah digabung
menggunakan utility file. Hasil yang didapatkan adalah file tersebut merupakan jenis file PNG. Hal ini
dikarenakan header dari file PNG berada paling awal. Untuk mengidentifikasi file-file lain yang juga
tergabung dalam file campuran dapat menggunakan utility binwalk. Contoh dari penggunaan utility binwalk
pada file campur adalah sebagai berikut.
 Gambar 8 Penggunaan Binwalk pada File Gabungan
Gambar 8 merupakan tampilan dari penggunaan utility binwalk untuk mengidentifikasi
jenis file pada file-file gabungan. Dari hasil yang didapatkan, terdapat dua file yang dapat
diidentfikasi, yaitu file PNG dan file ZIB. Berikut merupakan tampilan dari isi file dari file campur.

Gambar 9 Header File Campur

Gambar 9 merupakan tampilan dari isi dari file campur. Dimana terlihat bahwa pada file
campur, signature dari jenis file PNG berada paling awal. Selajutnya diikuti oleh signature dari
file WAV lalu yang terakhir adalah signature dari file ZIP.
Binwalk digunakan untuk mengidentifikasi header file. Khusus untuk melakukan ekstrasi
file, dapat menggunakan program foremost. Contoh dari penggunaan dari program foremost
adalah digunakan untuk mengekstrasi file campur, dimana hasil yang diiginkan adalah berupa file-
file yang digabungkan. Berikut merupakan tampilan dari penggunakan foremost.

Gambar 10 Penggunaan Foremost pada File Campur

Gambar 10 merupakan tampilan dari penggunaan utility foremost. Hasil yang didapatkan
adalah berupa folder output, diman folder output tersebut akan berisi file-file apasaja yang telah
digabungkan. File yang dapat di-recover menggunakan foremost tidak 100% sempurna.
Adakalanya hanya beberapa file saja yang berhasil di-recovery. File yang berhasil di-recovery
tidak seutuhnya sama. Apabila file-file yang digabungkan tidak memiliki footer, maka
kemungkinan ketika file tersebut di-recovery, tidak akan sama persis dengan aslinya, karena
terdapat beberapa bytes yang tidak terambil. Selain itu, file yang digabungkan tidak dapat di-
recovery juga kemungkinan dikarenakan file tersebut berukuran sangat kecil sehingga tidak
berhasil di-recover oleh foremost.

2. Pembahasan Soal File Carving

Terdapat dua buah soal yang dibahas yang berasal dari PicoCTF 2014
kategori Easy Forensic. Terdapat dua file yang diberikan yaitu file disk.img dan file
image.png. Langkah pertama yang dilakukan adalah mengindetifikasi file image.png
menggunakan utility file dan utility binwalk. Berikut merupakan tampian dari
menggunakan utility file dan utility binwalk.
 Gambar 11 Menggunakan Utility File dan Utility Binwalk
Gambar 11 merupakan tampilan dari penggunaan utility file dan binwalk. Hasil yang
didapatkan adalah pada bagian utility file, diidentifikasi file tersebut merupakan file PNG.
Sedangkan dengan utility binwalk, file tersebut terdapat dua gabungan file, yaitu PNG dan 7-ZIP.
Selanjutnya menggunakan utility foremost untuk mengekstrasi file image.png. Berikut merupakan
tampilan dari menggunakan utility foremost.

Gambar 12 Menggunakan Utility Foremost

Gambar 12 merupakan tampilan untuk menggunakan utility foremost pada file image.png.
Hasil yang didapatkan adalah bahwa utility foremost hanya dapat mengekstraksi satu file saja yaitu
file .png sedangan file 7ZIP tidak ada terekstraksi. Cara selajutnya yang dilakukan adalah dengan
membacar letak dari tiap bytes. Berikut merupakan tampilan dari langkah selanjutnya.

Gambar 13 Membaca Bytes

Gambar 13 merupakan tampilan untuk membaca file dari image.png. Dimana file yang
dibaca mulai dari bytes 1548 dengan input file berupa image.png dan output file berupa data.7z.
Dari file .7zip yang telah didapatkan, berisi berupa string yang digunakan sebagai flag. Berikut
merupakan tapilan dari string yang telah didapatkan.

Gambar 14 String yang Didapatkan

 Gambar 14 merupakan tampilan dari string yang diapatkan dari file image.png.
Selanjutnya adalah melakukan identifikasi terhadapat file disk.img. Berikut merupakan tamilan
dari mengidentifikasi file disk.png.

Gambar 15 Mengidentifikasi File Disk

Gambar 15 merupakan tampilan dari setelah dilakukan identifikasi menggunakan utility
binwalk. Hasil yang didapatkan berupa 5 buah file JPEG. Selanjutnya melakukan ekstraksi
terhadap file disk.img menggunakan utility foremost. Berikut merupakan tampilan dari melakukan
ekstrasksi menggunakan utility foremost.

Gambar 16 Melakukan Foremost

 Gambar 16 merupakan tampilan yang digunakan untuk melakukan ekstraksi terhadapt file
disk.img menggunakan utility formost. Hasil yang didapatkan adalah berupa lima buah file JPEG,
dimana salah satu file-nya berisi tulisan sebagai berikut.

Gambar 17 Hasil
Gambar 17 merupakan hasil yang didapatkan yaitu berupa gambar yang berisi tulisan
yang disimpan pada file disk.img