Tugas 10 :
1. Carilah user dan pwd dari image yang diclone (atau jika tidak memungkinkan direset)
2. Lakukan explorasi dengan autopsy terhadap image yang diclone
3. Setelah partisi terhubung, untuk melakukan pemeriksaan User yang ada pada system
operasi dapat dilakukan dengan melakukan ekstraksi pada file SAM yang berada pada
directory /mnt/Windows/System32/config seperti yang terlihat dibawah ini.
4. Selanjutnya untuk melihat list User yang ada pada operating system kita dapat
memanfaatkan perintah chntpw. Dari sini kita dapat melihat bahwa terdapat
beberapa user yang terkunci dan status nya disable, hanya ada 1 user aktif dengan
nama user Nana. Dari sini juga kita dapati bahwa user Nana memiliki password,
dengan indikasi tidak terdapat tulisan keterangan apapun pada kolom Lock.
5. Selain itu, kita dapat melakukan ektraksi info terhadap user nana dengan
menggunakan tools RegRipper, yang dalam kali linux dalam bentuk script Perl. Hasil
dari ekstraksi bias kitadapat seperti gambar dibawah ini, dari gambar tersebut bias
didapati kapan terakhir kali user login, sudah berapa kali melakukan login, terakhir
gagal / salah menggunakan password, dsb.
8. Dikarenakan Proses cracking password gagal, maka langkah yang dilakukan adalah
melakukan proses reset terhadap password user dengan memanfaatkan tools chntpw
seperti gambar dibawah ini.
9. Setelah proses reset, kita dapat melakukan pengecekan kembali terhadap list user
seperti diawal, disini kita akan melihat perbedaan, yaitu terdapat keterangan *BLANK*
pada kolom Lock untuk user Nana, ini karena password user Nana telah direset dengan
menghilankan password pada user tersebut.
B. Eksplorasi Data pada disk menggunakan Autopsy
1. Autopsy secara default sudah terpasang pada system operasi kali linux, sehingga
untuk menggukan autopsy dapat dilakukan dengan menjalankan perintah “autopsy”
seperti gambar dibawah ini.
2. Setelah menjalankan perintah autopsy, kali linux akan menjalankan service yang
berjalan pada protocol HTTP, sehingga autopsy dapat digunakan menggunakan web
browser. Alamat yang digunakan tertera pada standard output dari perintah autopsy,
biasanya secara default akan dapat di akses melalui alamat
http://localhost:9999/autopsy seperti gambar dibawah ini.
3. Untuk menggunakan autopsy pertama kali akan diminta untuk membuat sebuah
informasi kasus, seperti nama kasus, deskripsi, nama investigator
4. Selajutnya akan diminta untuk memasukan informasi host terkait computer yang
diambil image / di lakukan proses clone.
5. Selanjutnya kita memasukan image / partisi yang akan dilakukan eksplorasi atau
forensic menggunakan autopsy
6. Image yang diinput kedalam autopsy dapat berbentuk file image ataupun disk secara
langsung, jika disk secara langsung kita dapat memasukan path disk atau partisi
kedalam autpsy, jika dalam bentuk file image maka yang dituliskan adalah path
lengkap file image yang akan di proses.
7. Selanjutnya akan diminta untuk memasukan hasing image atu disk untuk memastikan
bahwa file image / disk yang akan di periksa adalah sumber yang valid.
8. Setelah image di input kedalam autopsy, maka tampilan autopsy akan seperti berikut
ini, dimana akan muncul list image, host, dsb. Selanjutnya kita juga dapat melakukan
Analisa terhadap image, melakukan pengecehan integrity image, serta file activity.
9. Untuk melihat file activity timeline, kita perlu membuat terlebih dahulu data file,
kemudian timeline, sehingga kita dapat melihat timeline.
10. Selain itu kita juga dapat melakukan Analisa, menapilkan list deleted file, recovery
hingga melihat isi konten file. Dalam autopsy juga memiliki fitur keyword search
terhadap data yang ada didalam image / disk.
Kesimpulan :
1. Untuk versi Windows 10 Anniversary Update telah menggunakan metode hashing yang
baru, sehingga tidak dapat dilakukan proses cracking dengan metode ekstraksi informasi
hash pada SAM, langkah yang dapat dilakukan adalah mereset password menjadi blank.
2. Dengan menggunakan Autopssy dapat mempermudah investigator untuk dapat
melakukan proses forensic, mulai dari melakukan pencarian, analisa hingga melakukan
proses recovery terhadap file-file yang dihapus.