MANAJEMEN KEAMANAN JARINGAN INFORMASI

FAKULTAS TEKNIK, UNIVERSITAS INDONESIA

TAHUN 2019
Mata Kuliah : Forensik Digital dan Jaringan
Dosen Pengampu : Dr. Yohan Suryanto S.T., M.T.
Nama : Ariani
NPM : 1806244692

Melakukan Restore image dan membuka passwordnya serta Analisa dengan Autopsy
Computer yang diback up adalah computer pribadi dengan spesifikasi:

• Sistem operasi Dual Boot: Ubuntu 16.04 dan Windows 10.

• Processor: Intel i5
• Ukuran Storage: 500 Gb dengan partisi C, D, System Drive,Recovery Lenovo, Ext4(untuk
Ubuntu), swap linux

1. Proses restore ke virtual box

Proses restore ini dilakukan dalam virtual box dari komputer dengan spesifikasi:
• Kapasitas harddisk 1Tb
• RAM 16Gb(namun untuk mesin restore hanya dikonfigurasi dengan 6.2Gb),
• Processor i7

Pertama yang dilakukan adalah membuat

mesin di virtualbox dengan spesifikasi seperti
di samping

Untuk melakukan restore, tools yang digunakan tetap clonezilla, namun untuk booting tanpa
menggunakan usb bootable clonezilla melainkan dengan menambahkan iso clonezilla ke dalam
virtualbox sebagai secondary masternya, seperti di bawah ini:

1
Proses awal restore masuk ke clonezilla sama dengan proses saat backup. Yaitu memilih
clonezilla live default→ setting language dan keyboard→start clonezilla→pilih device-
image→ pilih local-dev → hingga proses selesai.

Proses restore ini selama kurang lebih 3 jam, dengan opsi pengecekan disk kembali.Setelah proses
restore selesai, mesin dapat dijalankan, dimana hasilnya akan sama dengan saat sebelum di-back
up. Ada 2 sistem operasi(Ubuntu & Windows 10)

Grup loader awal

2
 Sistem Operasi Ubuntu

Sistem Operasi Windows 10

2. Proses membuka password

a. Sistem Operasi Ubuntu
Dari temuan di atas, kita hanya tahu username untuk login pada system operasi Ubuntu adalah
user “arn” tanpa tahu password, sehingga dilakukan reset password ubuntu agar dapat masuk
ke system. Untuk system operasi linux, reset passwordnya cukup mudah. Yaitu dengan cara:
- masuk system melalui recovery mode
- Selanjutnya adalah dengan memilih root
- Ketik mount -rw -o remount / , yaitu untuk mengubah priviledge rewrite system
- Selanjutnya langsung ubah password dari user yang diinginkan bahkan password root
- Setelah selesai, keluar dari recovery mode untuk reboot ke system
- Masuk ke linux ubuntu dengan password baru(yang telah diubah sebelumnya)

3
b. Sistem Operasi Windows 10
Untuk melakukan reset pada windows 10, digunakan chntpw pada linux, dimana pada reset
ini digunakan pada kali linux live CD.
- Sebelumnya, partisi pada windows harus di mount terlebih dahulu
- Kemudian melalui terminal, buka lokasi disk windows yang telah di mount, direktori
lokasi biasanya ada di /media.

4
- Selanjutnya buka direktori SAM, yaitu pada :
/media/root/[nama_disk]/Windows/System32/config
- Untuk melihat daftar user account pada windows, digunakan command: chntpw -l SAM
- Untuk melakukan reset password windows pada user Ariani, digunakan command:
chntpw -u Ariani SAM, sehingga password pada windows dihapus.
- Akibatnya, saat membuka windows, tidak memerlukan password untuk masuk.

5
3. Proses Forensik
a. Ubuntu
Pada system operasi Ubuntu, dapat dilakukan secara langsung dengan langsung masuk ke
system menggunakan password baru setelah direset.
Berdasarkan pengecekan pada disk yang ada menggunakan terminal, terdapat beberapa partisi
dengan tipe file system Linux, ntfs/extfat, dan swap dengan ukuran dan penggunaan disk yang
berbeda-beda.

Saat device manager dibuka, partisi dari windows ternyata dapat langsung dibuka.

6
Namun, setelah dilakukan pengecekan terhadap direktori-direktori yang ada, pada system
operasi Ubuntu hanya terdapat sedikit file dengan sedikit history. Diantaranya adalah:
- Pada directory Download hanya ada beberapa file, yaitu file driver TpLink

- Saat dilakukan pengecekan terhadap history dari terminal, hanya ada aktifitas percobaan
install driver TpLink

7
 - Berdasarkan pengecekan pada history browser, aktifitas yang pernah dilakukan adalah
melakukan download driver TpLink

b. Windows 10
Untuk menganalisa pada system ini, digunakan tools forensic yang bernama Deft OS yang
berjalan pada live CD seperti di bawah ini. Deft OS akan langsung membaca disk yang
terhubung pada perangkat, namun untuk mengakses disk tersebut harus di mount terlebih
dahulu.

8
Dari device manager Deft OS terlihat ada beberapa disk. Hal ini dapat dilakukan Analisa secara
langsung(karena disk merupakan hasil restore dari clone disk) atau dibuat image case.
Pada hal ini, akan digunakan tools GUYMAGER untuk membuat image. Namun sebelumnya
harus disiapkan disk eksternal untuk menyimpan hasil image.
Berikut adalah langkah-langkahnya:
- Siapkan disk eksternal dan mount ke perangkat dengan mode read write
- Jika ingin membuka disk yang akan dianalisa, gunakan mode read only agar tidak merubah
barang bukti.

- Warna hijau artinya disk telah di mount dengan mode read only, sedangkan warna merah
dengan mode read write

- Selanjutnya buka tools yang ada pada Deft OS untuk melakukan image, pada saat ini tools
yang digunakan adalah GAYMAGER.

9
- Selanjutnya pilih disk yang akan di image→ klik kanan →pilih acquire image

- Selanjutnya set informasi untuk menyimpan image, selain itu set untuk membuat hash file
image

- Tunggu proses hingga selesai

10
- Hasil dari image case di atas adalah sebagai berikut dengan pemecahan image per 3Gb,
sehingga jumlah file ada 52 file image hasil pecah per 3Gb.

- Dari image tersebut juga menghasilkan hash yang dapat digunakan sebagai otentikasi file
image
GUYMAGER ACQUISITION INFO FILE
==============================
Guymager
========
Version : 0.7.3-2
Compilation timestamp: 2014-02-10-17.39.15
Compiled with : gcc 4.8.2
libewf version : 20130416
libguytools version : 2.0.1
Device information
==================
Command executed: bash -c "search="`basename /dev/sda`: H..t P.......d A..a de.....d" && dmesg | grep -A3 "$search" || echo "No kernel HPA
messages for /dev/sda""
Information returned:
----------------------------------------------------------------------------------------------------
No kernel HPA messages for /dev/sda
Command executed: bash -c "smartctl -s on /dev/sda ; smartctl -a /dev/sda"
Information returned:
----------------------------------------------------------------------------------------------------
smartctl 6.2 2013-07-26 r3841 [i686-linux-4.4.0-53-generic] (local build)
Copyright (C) 2002-13, Bruce Allen, Christian Franke, www.smartmontools.org
SMART support is: Unavailable - device lacks SMART capability.
A mandatory SMART command failed: exiting. To continue, add one or more '-T permissive' options.
smartctl 6.2 2013-07-26 r3841 [i686-linux-4.4.0-53-generic] (local build)
Copyright (C) 2002-13, Bruce Allen, Christian Franke, www.smartmontools.org
=== START OF INFORMATION SECTION ===
Device Model: VBOX HARDDISK
Serial Number: VB4150fee6-7f520884
Firmware Version: 1.0
User Capacity: 536,870,912,000 bytes [536 GB]
Sector Size: 512 bytes logical/physical
Device is: Not in smartctl database [for details use: -P showall]
ATA Version is: ATA/ATAPI-6 published, ANSI INCITS 361-2002
Local Time is: Mon Dec 9 20:37:08 2019 UTC
SMART support is: Unavailable - device lacks SMART capability.
A mandatory SMART command failed: exiting. To continue, add one or more '-T permissive' options.
Command executed: bash -c "hdparm -I /dev/sda"
Information returned:
----------------------------------------------------------------------------------------------------
/dev/sda:
ATA device, with non-removable media
Model Number: VBOX HARDDISK
Serial Number: VB4150fee6-7f520884
Firmware Revision: 1.0
Standards:
Used: ATA/ATAPI-6 published, ANSI INCITS 361-2002
Supported: 6 5 4

11
 Configuration:
Logical max current
cylinders 16383 16383
heads 16 16
sectors/track 63 63
--
CHS current addressable sectors: 16514064
LBA user addressable sectors: 268435455
LBA48 user addressable sectors: 1048576000
Logical/Physical Sector size: 512 bytes
device size with M = 1024*1024: 512000 MBytes
device size with M = 1000*1000: 536870 MBytes (536 GB)
cache/buffer size = 256 KBytes (type=DualPortCache)
Capabilities:
LBA, IORDY(cannot be disabled)
Queue depth: 32
Standby timer values: spec'd by Vendor, no device specific minimum
R/W multiple sector transfer: Max = 128 Current = 128
DMA: mdma0 mdma1 mdma2 udma0 udma1 udma2 udma3 udma4 udma5 *udma6
Cycle time: min=120ns recommended=120ns
PIO: pio0 pio1 pio2 pio3 pio4
Cycle time: no flow control=120ns IORDY flow control=120ns
Commands/features:
Enabled Supported:
* Power Management feature set
* Write cache
* Look-ahead
* 48-bit Address feature set
* Mandatory FLUSH_CACHE
* FLUSH_CACHE_EXT
* Gen2 signaling speed (3.0Gb/s)
* Native Command Queueing (NCQ)
Checksum: correct
Hidden areas: unknown
Acquisition
===========
Linux device : /dev/sda
Device size : 536870912000 (536.9GB)
Format : Expert Witness Format, sub-format Guymager - file extension is .Exx
Image meta data
Case number : Case_001
Evidence number : 001
Examiner : Ariani
Description : Harddisk with 2 OS(Ubuntu & Windows10)
Notes : VB4150fee6-7f520884
Image path and file name: /media/root/Transcend/Evidence/Case1.Exx
Info path and file name: /media/root/Transcend/Evidence/Case1.info
Hash calculation : MD5, SHA-1 and SHA-256
Source verification : off
Image verification : off
No bad sectors encountered during acquisition.
State: Finished successfully

MD5 hash : 85501f58b0acaf442c9b8c203a20fb6f

MD5 hash verified source : --
MD5 hash verified image : --
SHA1 hash : 959146b92090758fa2e0be5166b7330ccda37c06
SHA1 hash verified source : --
SHA1 hash verified image : --
SHA256 hash : 1927300fb833af07b662ff32144a8d5e37e9c77d69b2092393ea0d442bae3663
SHA256 hash verified source: --
SHA256 hash verified image : --
Acquisition started: 2019-12-09 20:37:07 (ISO format YYYY-MM-DD HH:MM:SS)
Ended : 2019-12-09 23:28:45 (2 hours, 51 minutes and 37 seconds)
Acquisition speed : 49.72 MByte/s (2 hours, 51 minutes and 37 seconds)
Generated image files and their MD5 hashes
==========================================
No MD5 hashes available (configuration parameter CalcImageFileMD5 is off)
MD5 Image file

- Lakukan Analisa terhadap disk menggunakan Autopsy. Tools Autopsy ini ada yang
berbasis web(pada kali linux) dan ada yang berbasis desktop(pada Windows)
a. Analisa menggunakan Autopsy pada Kali Linux
Aplikasi Autopsy pada Kali Linux berbasis web, dan berjalan pada web browser :
localhost:9999/autopsy. Apabila aplikasi ini running, maka terminal akan otomatis
seperti di bawah ini

12
Yang pertama dilakukan saat menganalisa image adalah harus membuat project case
terlebih dahulu serta melakukan konfigurasi host, nama orang yang menganalisa

Selanjutnya adalah menambahkan image yang akan dianalisa dengan menambahkan

direktori lokasi image, dapat dicek melalui terminal. Ketikkan
/media/root/Trancend/Evidence/Case1* untuk menambahkan image yang
jumlahnya lebih dari satu, karena sebelumnya image displit per 3 Gb. Selanjutnya
tentukan apakah file image atau disk.

13
Setelah di OK akan muncul image file detail dengan partisi file system dari image
tersebut yang dapat dianalisa.

Partisi yang telah ditemukan pada image adalah sebagai berikut:

14
Menu-menu yang ada untuk Analisa adalah Analisa file system, inforasi konten,
direktori yang ada, metadata, dan menu pencarian data yang ingin dicari.

15
b. Analisa menggunakan Autopsy pada Windows
Tools Autopsy pada windows berbasis desktop, sehingga Analisa tidak lagi melalui
browser. Tahap awal selalu membuat projek case sebelum menganalisa image.
Tujuannya adalah forensic dilakukan oleh siapa dengan nama kasus apa, serta beberapa
diskripsi lain yang dapat ditambahkan.

16
Sehingga pada folder yang telah ditentukan akan terbuat sebuah folder case seperti
berikut:

Untuk menambahkan image dapat ditambahkan melalui menu Add Data Source.
Source data dapat berupa vmdk, satu file image, disk, atau yang lainnya. Untuk
memilih data dalam jumlah lebih dari satu, masukkan datasource dengan memilih
logical files→pilih folder lokasi image→ sehingga secara langsung file image(dalam
hal ini ada 52 file) ditambahkan semua

17
Pada Autopsy ini, akan terkelompokkan data-data sesuai tipenya, seperti file audio,
video, file dokumen pdf, dokumen office, file executable, dll, bahkan data-data yang
telah terhapus. Sehingga, pencarian data akan lebih mudah.

18
19
4. Kesimpulan
➢ Untuk melakukan reset windows banyak tools yang dapat digunakan, salah satunya adalah
chntpw. Sedangkan untuk reset password Ubuntu/Linux dapat dilakukan langsung melalui
recovery mode root Ubuntu.
➢ Tools yang dapat digunakan untuk melakukan forensic pada sebuah image ada banyak
sekali, salah satunya adalah Autopsy.
➢ Berdasarkan hasil Analisa, pada system operasi Ubuntu tidak terdapat data yang terlalu
banyak dan penting, karena aktifitas yang pernah dilakukan juga hanya instalasi driver.
Sedangkan pada Windows, terdapat banyak data yang dapat dianalisa, namun hal ini akan
membutuhkan waktu yang lebih lama karena data yang cukup banyak serta file terdelete
yang cukup banyak pula.

20