FORENSIK DIGITAL DAN JARINGAN

Forensik Digital Nana Mulyana

Fakultas Teknik 1806245000
Universitas Indonesia

Tugas 10 :
1. Carilah user dan pwd dari image yang diclone (atau jika tidak memungkinkan direset)
2. Lakukan explorasi dengan autopsy terhadap image yang diclone

Sekenario yang dilakukan:

Sistem Operasi Komputer target adalah Windows 10 yang diclone menggunakan metode disk
to disk, kemudian disk hasil cloning dipasangkan ke komputer yang akan digunakan untuk
melakukan proses forensik. Komputer yang digunakan untuk melakukan forensic
menggunakan system operasi Kali Linux 2019.4.

Aktifitas yang dilakukan:

A. List User dan Password / Reset Password User
1. Pertama-tama lakukan pengecekan terhadap partisi disk yang merupakan hasil cloning
dengan perintah fdisk, darisini kita dapati bahwa partisi disk yang akan dilakukan
pemeriksaan yaitu /dev/sda3
2. Setelah mendapatkan partisi yang akan diperiksa, selanjutnya adalah menghubungkan
partisi file system ke directory /mnt yang ada pada Sistem operasi agar dapat dibaca
dengan perintah mount seperti gambar dibawah ini.

3. Setelah partisi terhubung, untuk melakukan pemeriksaan User yang ada pada system
operasi dapat dilakukan dengan melakukan ekstraksi pada file SAM yang berada pada
directory /mnt/Windows/System32/config seperti yang terlihat dibawah ini.
4. Selanjutnya untuk melihat list User yang ada pada operating system kita dapat
memanfaatkan perintah chntpw. Dari sini kita dapat melihat bahwa terdapat
beberapa user yang terkunci dan status nya disable, hanya ada 1 user aktif dengan
nama user Nana. Dari sini juga kita dapati bahwa user Nana memiliki password,
dengan indikasi tidak terdapat tulisan keterangan apapun pada kolom Lock.
5. Selain itu, kita dapat melakukan ektraksi info terhadap user nana dengan
menggunakan tools RegRipper, yang dalam kali linux dalam bentuk script Perl. Hasil
dari ekstraksi bias kitadapat seperti gambar dibawah ini, dari gambar tersebut bias
didapati kapan terakhir kali user login, sudah berapa kali melakukan login, terakhir
gagal / salah menggunakan password, dsb.

6. Langkah selanjutnya, kita terlebih dahulu mencoba melalukan cracking terhadap

password user yang ada pada operating system. Langkah yang dilakukan adalah
memanfaatkan tools samdump2 untuk mengekstraksi user dan hassing password
kedalam sebuah file yang kemudian akan dilakukan proses cracking seperti gambar
dibawah ini.
7. Selanjutnya kita dapat melakukan proses cracking hash password dengan
menggunakan tools john the ripper seperti gambar dibawah ini. Dari proses ini kita
dapati bahwa hash password tidak dapat di crack, ini di karenakan Windows 10
Anniversary Update menggunakan metode hash yang baru, sehingga proses dump
menggunakan samdump2 yang dilakukan sebelumnya menghasilkan hash yang tidak
sesuai.

8. Dikarenakan Proses cracking password gagal, maka langkah yang dilakukan adalah
melakukan proses reset terhadap password user dengan memanfaatkan tools chntpw
seperti gambar dibawah ini.
9. Setelah proses reset, kita dapat melakukan pengecekan kembali terhadap list user
seperti diawal, disini kita akan melihat perbedaan, yaitu terdapat keterangan *BLANK*
pada kolom Lock untuk user Nana, ini karena password user Nana telah direset dengan
menghilankan password pada user tersebut.
B. Eksplorasi Data pada disk menggunakan Autopsy
1. Autopsy secara default sudah terpasang pada system operasi kali linux, sehingga
untuk menggukan autopsy dapat dilakukan dengan menjalankan perintah “autopsy”
seperti gambar dibawah ini.

2. Setelah menjalankan perintah autopsy, kali linux akan menjalankan service yang
berjalan pada protocol HTTP, sehingga autopsy dapat digunakan menggunakan web
browser. Alamat yang digunakan tertera pada standard output dari perintah autopsy,
biasanya secara default akan dapat di akses melalui alamat
http://localhost:9999/autopsy seperti gambar dibawah ini.
3. Untuk menggunakan autopsy pertama kali akan diminta untuk membuat sebuah
informasi kasus, seperti nama kasus, deskripsi, nama investigator

4. Selajutnya akan diminta untuk memasukan informasi host terkait computer yang
diambil image / di lakukan proses clone.
5. Selanjutnya kita memasukan image / partisi yang akan dilakukan eksplorasi atau
forensic menggunakan autopsy
6. Image yang diinput kedalam autopsy dapat berbentuk file image ataupun disk secara
langsung, jika disk secara langsung kita dapat memasukan path disk atau partisi
kedalam autpsy, jika dalam bentuk file image maka yang dituliskan adalah path
lengkap file image yang akan di proses.

7. Selanjutnya akan diminta untuk memasukan hasing image atu disk untuk memastikan
bahwa file image / disk yang akan di periksa adalah sumber yang valid.
8. Setelah image di input kedalam autopsy, maka tampilan autopsy akan seperti berikut
ini, dimana akan muncul list image, host, dsb. Selanjutnya kita juga dapat melakukan
Analisa terhadap image, melakukan pengecehan integrity image, serta file activity.
9. Untuk melihat file activity timeline, kita perlu membuat terlebih dahulu data file,
kemudian timeline, sehingga kita dapat melihat timeline.

10. Selain itu kita juga dapat melakukan Analisa, menapilkan list deleted file, recovery
hingga melihat isi konten file. Dalam autopsy juga memiliki fitur keyword search
terhadap data yang ada didalam image / disk.
Kesimpulan :
1. Untuk versi Windows 10 Anniversary Update telah menggunakan metode hashing yang
baru, sehingga tidak dapat dilakukan proses cracking dengan metode ekstraksi informasi
hash pada SAM, langkah yang dapat dilakukan adalah mereset password menjadi blank.
2. Dengan menggunakan Autopssy dapat mempermudah investigator untuk dapat
melakukan proses forensic, mulai dari melakukan pencarian, analisa hingga melakukan
proses recovery terhadap file-file yang dihapus.