INFORMASI
(OS FORENSICS)
2017
KATA PENGANTAR
Penyusun
DAFTAR ISI
ii
A. Overview OSForensics
OS Forensik adalah perangkat lunak serbaguna atau komputer forensik suite
lengkap yang dibuat oleh PassMarkSoftware. OSForensics memungkinkan Anda
mengekstrak bukti forensik dari komputer cepat dengan mencari file yang kinerja
tinggi dan kemampuan pengindeksan cepat. Pengguna dapat mengidentifikasi file
yang mencurigakan dan aktivitas dengan pencocokan hash, mendorong
perbandingan tanda tangan, e-mail, memori dan data biner. OSForensics
memungkinkan pengguna untuk mengelola investigasi digital mereka dan
membuat laporan dari data forensik yang dikumpulkan.
OS FORENSIK juga adalah aplikasi forensic untuk penempatan dan analisis bukti
digital yang ditemukan di system computer dan tempat penyimpanan digital. Ada
beberapa tool dalam OS Forensik yang dapat identifikasi material bukti digital
dalam beberapa detik.
OSForensics datang dalam dua jenis lisensi: versi gratis dan versi Professional.
Versi gratis adalah fitur terbatas.
1
Beberapa fitur termasuk: Browse VSC ini, Recoverfile dihapus, data mengukir,
Indexing, Sistem File Browser, FileViewer, Email Viewer, RawDiskViewer, Web
Browser, Lihat .ese DB SQLite Browser, Gambar drive, Gunung Gambar,
Kegiatan Terbaru , PrefetchViewer, Event Log Viewer, RegistryViewer,
passwordExtractor, CustomHashSets Manajemen Kasus, Sistem Informasi,
Gambar HPA / DCO, Laporan HTML, RebuildArray RAID, ThumbcacheViewer,
TimelineViewer, RAM Gambar, MemoryViewerSignatureSnapshots, Signature
perbandingan, Forensik Copier, Install untuk USB.
2
Kakak mereka perusahaan, Wrensoft , telah mengembangkan sebuah perusahaan
mesin pencari kuat yang dikenal sebagai Zoom SearchEngine untuk digunakan
pada situs web perusahaan dan katalog CD. Zoom tetap populer dengan
masyarakat web sebagai, solusi kinerja tinggi biaya yang efektif untuk
menambahkan fungsi pencarian tanpa batas ke situs web bisnis.
3
3. Lalu pilih lokasi untuk menginstall aplikasi, kemudian klik next
4
5. Centang untuk dapat membuat ikon shortcut pada desktop, kemudian klik next
5
8. Setelah instalasi selesai hanya tinggal info mengenai aplikasi, lalu klik
next, lalu klik centang launch OS Forensik untuk menjalankan aplikasi,
lalu klik finish
6
C. FITUR OS FORENSIK
OSForensics berisi kumpulan modul untuk mencari, mengumpulkan,
menganalisis dan memulihkan artefak digital yang dapat digunakan sebagai
bukti hukum di pengadilan.
Tampilan Interface program OS FORENSIK
8
l. Web browser menyediakan penampil web dasar dengan kemampuan
forensik. Ini termasuk kemampuan untuk menyimpan menangkap layar dari
halaman web dan menambahkannya ke kasus yang sedang dibuka.
m. Password Recovery
Memulihkan password dari berbagai sumber.
n. Verifikasi / Buat Hash
Buat hash (SHA1, MD5, CRC32) dari file atau seluruh hard disk.
9
D. Pembahasan fitur OS Forensik
1. CASE MANAGEMENT
Case Management :
Create Case : berfungsi untuk memulai/membuat kasus baru untuk
mengelompokkan semua pencarian melalui fitur-fitur yang berbeda di
OSForensics.
Mengklik tombol kasus baru akan memungkinkan Anda untuk
menghasilkan kasus kosong baru di mana untuk mengumpulkan data dalam.
Sebuah kasus harus memiliki nama, dan mungkin memiliki penyidik terkait
meskipun hal ini tidak diperlukan.
Secara default kasus yang dibuat seperti dalam folder OSForensics
terletak di folder My Documents pengguna. Pada penciptaan sub folder akan
dibuat di lokasi target yang akan berisi kasus, tidak ada kebutuhan untuk
memilih folder kosong.
Cara menggunakannya :
Startcreate case
Isi data pada jendela yang muncul
Case name : nama kasus
Investigator : nama penyelidik
Organization : nama organisasi atau instansi
Contact details : isikan informasi contact yang valid.
Timezone : wilayah waktu anda
Acquisition type : menetukan alat yang akan dipakai
Case folder tempat pengimpanan kasus.
Setelah itu klik OK.
10
Screenshoot :
11
Import Case : berfungsi untuk mengimport kasus sebelumnya untuk
dilanjutkan.
Cara menggunakannya :
Start Pilih import
Kemudian browse folder case yang akan di import
Klik ok.
Screenshoot :
12
kemungkinan untuk menambahkan item ke kasus dari fungsi lain.
Load Case
Beban kasus yang saat ini dipilih dari daftar. Anda juga dapat cukup klik
ganda dalam daftar untuk melakukan tindakan yang sama.
Delete Case
Menghapus kasus yang sedang dipilih. Pengguna diberikan pilihan untuk
backup data kasus ke lokasi yang ditentukan sebelum menghapus.
2. CASE MANAGER
13
Cara menggunakannya :
Start Pilih Generate Report
Kemudian akan muncul jendala export report, klik ok.
Kemudian akan muncul laporan dalam bentuk HTML pada jendela browser.
Screenshoot :
14
View Log
Jika penebangan diaktifkan untuk kasus ini, membuka penampil log untuk
melihat entri log. Berfungsi untuk menampilkan aktivitas kejadian dalam bentuk
log.
Cara menggunakannya :
Start Pilih View Log
Kemudian akan tampil Jendela Case activity log, pilih save.
Screenshoot :
15
Add Attachment
Menambahkan file generik dengan kasus sebagai lampiran.
Add Note
Menambahkan catatan untuk kasus sebagai file teks.
Add Device
Menambahkan perangkat penyimpanan untuk kasus untuk analisis.
Case Activity Log
Ketika melakukan penyelidikan forensik, penting untuk menjaga jejak
audit dari kegiatan yang tepat dilakukan selama investigasi untuk beberapa
tujuan termasuk yang berikut:
a. Pembekalan dari penyelidikan selesai
b. Audit kegiatan penyelidikan untuk menentukan apakah prosedur yang
tepat dan protokol diikuti
c. Mendidik dan mengevaluasi penyelidik dalam pelatihan
OSForensics memberikan pilihan untuk menentukan apakah kegiatan yang
dilakukan dalam kasus ini harus secara otomatis login ke file log tamper-
resistant pada disk, menghasilkan jejak semua kegiatan yang dilakukan selama
penyelidikan.
Enable/Disable Logging
Logging dapat diaktifkan / dinonaktifkan saat membuat kasus untuk pertama
kalinya atau saat mengedit kasus yang sudah ada di jendela Manajemen Kasus
16
Viewing the Log
Setelah log diaktifkan, log dapat dilihat dengan mengklik tombol "Lihat
Log" di jendela kasus manajemen, serta "Lihat Log" ikon dalam kelompok
"Manajemen Kasus" di bawah tab Start.
17
a. Major - Termasuk semua aktivitas utama yang berhubungan dengan kasus itu
sendiri, seperti ketika pertama kali diciptakan.
b. Minor - Termasuk mulai / selesai semua aktivitas forensik yang signifikan,
seperti nama file pencarian, pembuatan indeks, menghapus file pencarian, dll
c. Info - Termasuk semua aktivitas forensik tambahan dilakukan, seperti
mengekspor hasil ke disk, menambahkan file kasus, dll
d. Detail - Termasuk rincian subtasks yang sedang dieksekusi secara internal
sementara operasi forensik besar sedang dilakukan.
3. FILE NAME SEARCH
File name service digunakan untuk mencari nama-nama file dan folder
yang cocok dengan pola pencarian tertentu.
18
File Name search : berfungsi untuk mencari file disebuah direktory.
Cara menggunakannya :
Start Pilih File Name search
Isi search string dan start folder,
Kemudian klik search.
Note :
Search string : nama file yang akan dicari.
Presets : menentukan jenis data yang akan dicari
Start Folder : menetukan partici atau directory tempat file berada.
File list : daftar file yang ditemukan
19
Thumbnails : keterangan dari file
Timeline : waktu file dibuat terakhil kali.
Screenshoot :
20
4. INDEXING
Indexing memungkinkan Anda untuk mencari di dalam isi banyak file
sekaligus. Berbeda dengan modul pencarian lain yang hanya memeriksa nama
file dan kriteria permukaan lainnya, pengindeksan memungkinkan Anda untuk
melakukan pencarian jauh di dalam isi dokumen PDF, Word, E-mail, meta
data gambar dan banyak lagi.
Untuk melakukan ini, Anda harus terlebih dahulu membuat indeks untuk
set file yang ingin memeriksa. Ini adalah proses menyeluruh yang memindai
dan menganalisa file dan membangun indeks (menganggap itu sebagai versi
yang lebih canggih dari apa yang akan Anda temukan di bagian belakang
buku), yang kemudian dapat digunakan untuk melakukan pencarian di.
a. Create Index
Modul yang melakukan indeks generasi awal yang dibutuhkan untuk
pencarian berbasis indeks
b. Search index
Modul yang melakukan pencarian berbasis indeks menggunakan file indeks
yang dibuat melalui modul Buat Index.
Create Index
berfungsi untuk membuat index dari data data yang ada pada directory
agar dengan mudah dapat dicari.
Cara menggunakannya :
Start Pilih File Name search
Di step 1 pilih type file yang akan dicari
Step 2 pilih lokasi yang akan dicari
Step 3, isikan judul dan note indexnya
Kemudian klik start indexing
Step 4, diproses
Step 5,dalam pemrosesan dan tunggu sampai seslesai.
21
Note :
Use Pre-defined file types : memilih tipe atau jenis file yang akan dibuat
index pade sebuah direktory secara otomatis.
Use costum template (advanced) : membuat index dengan tempelate secara
manual.
Dalam langkah ini Anda harus memilih jenis file yang ingin Anda indeks.
Anda dapat memilih antara satu set standar dari jenis file atau Anda dapat
menentukan opsi pengindeksan lebih maju melalui template. Secara umum,
jenis file lebih yang dipilih, lebih lama dan lebih memakan proses
pengindeksan sumber daya akan mengambil.
22
Pada langkah ini, Anda akan sebutkan mulai direktori mana
OSForensics akan memindai file ke indeks. Klik tombol 'Add' untuk
menentukan lokasi awal yang ingin Anda tambahkan ke dalam daftar:
23
Pada langkah ini, Anda akan perlu untuk memasukkan rincian untuk
indeks ini akan ditambahkan ke kasus ini. Jika Anda tidak memiliki kasus
terbuka, Anda akan diminta untuk membuat / membuka satu sebelum pindah
ke langkah berikutnya. Langkah ini memungkinkan Anda untuk menentukan
judul dan catatan untuk indeks Anda yang akan disimpan dalam kasus ini.
Selama tahap ini, OSForensics akan melakukan scan awal dari lokasi dan file
yang telah Anda tentukan untuk menetapkan batas untuk proses pengindeksan.
Jika Anda telah mengatur secara manual batas-batas ini dalam pilihan
pengindeksan maju, maka langkah ini akan dilewati. Kecuali kesalahan dalam
langkah ini, akan segera beralih ke tahap akhir di mana indeks dimulai.
24
Indeks ini sekarang sedang dibuat. Proses ini dapat mengambil waktu yang
cukup lama tergantung pada opsi yang dipilih. Untuk melihat log secara real-
time saat pengindeksan sedang dilakukan, klik 'Open Log ...' untuk
memunculkan jendela log seperti yang ditunjukkan di bawah ini.
25
Search Index
Modul Index Pencarian melakukan pencarian yang sebenarnya
menggunakan indeks yang dihasilkan melalui modul Buat Index. Berbeda
dengan File Name Search, isi dari file yang dicari (sebagai lawan hanya nama
file) untuk kata-kata pencarian yang ditentukan pengguna.
26
Match
Pengguna dapat memilih apakah hasilnya akan cocok dengan kata-kata
atau semua kata-kata dalam string pencarian
Maximum Results
Menentukan jumlah maksimum hasil untuk menampilkan
Date Range
Jika 'Gunakan Rentang Tanggal' dicentang, memungkinkan pengguna
untuk menyaring hasil untuk menyertakan hanya file dalam rentang tanggal
yang ditentukan.
Email Search Options
Memungkinkan pengguna untuk menyaring hasil e-mail pencarian untuk
mereka yang cocok dengan 'Dari', 'To' dan bidang 'CC'
27
5. RECENT ACTIVITY
Modul scan sistem untuk bukti aktifitas terbaru, seperti situs diakses,
program yang diinstal, USB drive, jaringan nirkabel, dan download terbaru.
Hal ini sangat berguna untuk mengidentifikasi tren dan pola pengguna, dan
materi yang telah diakses baru-baru ini.
Scan untuk aktifitas terbaru dapat dimulai dengan hanya menekan tombol Scan.
Pengaturan berikut tersedia untuk pengguna
6. DELETE FILE SEARCH
Modul dapat digunakan untuk memulihkan file dihapus dari sistem file
(file yaitu. Dihapus tidak lagi di daur ulang bin). Hal ini sangat berguna untuk
memulihkan file yang pengguna mungkin telah berusaha untuk
menghancurkan.
28
7. MISMATCH FILE SEARCH
Modul dapat digunakan untuk mencari file yang isinya tidak cocok
ekstensi filenya, dalam kata lain file-file yang tidak bisa dibuka secara default
atau rusak.Modul ini dapat mengungkap upaya untuk menyembunyikan file
dengan nama file palsu dan ekstensi dengan memverifikasi apakah format file
yang sebenarnya cocok format file yang diinginkan berdasarkan ekstensi file
Cara menggunakannya :
Start Mismatch file search
Start folder : menentukan folder atau direktory yang dipilih untuk di scan.
Filter : untuk menentukan mode scan yang diterapkan.
29
8. MEMORY VIEWER
modul memungkinkan pengguna untuk melihat rincian memori dari semua
proses yang sedang berjalan pada sistem. Tidak seperti hard disk non-volatile
yang dapat dianalisis statis, isi memori (RAM) hanya dapat dianalisis
sedangkan sistem ini hidup. Selain itu, mungkin yang berpotensi melibatkan
bukti hanya ada di memori fisik sistem, tanpa jejak pada hard disk. Hal ini
rumit lebih lanjut jika data hanya ada di memori untuk jangka waktu singkat.
Dan juga berfungsi untuk menampilkan penggunaan memori dari aplikasi
yang sedang berjalan.
Cara Menggunakannya :
Start Memori viewer
Akan muncul jendela warning
Klik centang dan klik ok.
Note :
Process info : menampilakan informasi tentang aplikasi yang dipilih dan
penggunaan memorinya.
Memori space : menampilkan penyimpanan yang digunakan aplikasi.
Memory layout : berfungsi untuk menampilkan penggunaan memory.
30
9. PREFETCH VIEWER
Modul Prefetch Viewer memungkinkan pengguna untuk melihat
informasi forensik berpotensi berharga disimpan oleh sistem operasi
Prefetcher. The Prefetcher adalah komponen yang meningkatkan kinerja
sistem dengan aplikasi pre-caching dan file terkait ke dalam RAM,
mengurangi akses disk. Untuk memfasilitasi hal ini, Prefetcher mengumpulkan
aplikasi rincian penggunaan seperti jumlah kali aplikasi telah dieksekusi, saat
run terakhir, dan setiap file yang menggunakan aplikasi saat berjalan. Dengan
menggunakan informasi ini, forensik peneliti dapat mengungkap pola
penggunaan aplikasi tersangka (misalnya. "Cleaner" perangkat lunak yang
digunakan baru-baru ini) dan file yang telah dibuka (misalnya. Dokumen).
31
Fungsi selanjutnya adalah untuk menampilan sampah dari hasil membuka
aplikasi. Dengan menggunakan informasi ini, forensik peneliti dapat menentukan
pola penggunaan aplikasi tersangka.
Cara Menggunakan :
Start Prefetch viewer
Note :
Drive : menentukan drive mana yang dipilih untuk di scan.
Mapped : menampilakan file yang ditemukan.
Mapped direktories : menampilan directory dari file yang di pilih.
32
10. RAW DISK VIEWER modul memungkinkan pengguna untuk
menganalisis sektor baku semua perangkat ditambahkan ke kasus, bersama
dengan semua disk fisik dan partisi (termasuk gambar dipasang) yang melekat
pada sistem. Modul ini menyediakan kemampuan untuk melakukan
pemeriksaan lebih dalam drive, mencari di luar data yang disimpan dalam file
sistem file dan direktori. Pertunjukan tingkat analisis mungkin diperlukan jika
informasi yang menarik diduga disembunyikan dalam sektor baku drive, yang
biasanya tidak dapat diakses melalui mekanisme normal sistem operasi
(misalnya. Cluster gratis, ruang file slack).
Cara Menggunakannya :
Start Raw Disk Viewer
33
Cara Menggunakannya :
Start Registry viewer.
Pilih Drive atau browse file.
Pilih file yang akan dibuka
Klik ok.
34
Sreenshoot :
35
Akan muncul jendela baru, pilih folder yang akan dibuka
Klik open.
36
14. WEB BROWSER
Modul Web Browser menyediakan penampil web dasar dari dalam
OSForensics. Modul ini menambahkan kemampuan untuk memuat halaman
web dari web dan menyimpan menangkap layar dari halaman web dengan
kasus dibuka saat ini.
Cara Menggunakannya :
Start Web Browser
Kemudian ketikkan alamat web yang akan dituju.
Tekan enter.
37
Windows Login Passwords
Mengambil password login dan hash untuk pengguna sistem. hash diambil
dapat digunakan bersama dengan tabel pelangi untuk menemukan password.
Rainbow Tables
Menggunakan tabel pelangi untuk melakukan reverse lookup pada hash
password.
16. SYSTEM INFORMATION
Modul Sistem Informasi memungkinkan pengambilan informasi rinci
tentang komponen inti dari sistem. Modul ini dilengkapi dengan built-in daftar
tes tes yang dapat mengambil rincian inti tentang sistem seperti;
a. CPU, Motherboard and Memory
b. BIOS
c. Video card/Display devices
d. USB controllers and devices
e. Ports (Serial/Parallel)
f. Network adapters
g. Physical and Optical Drives
Cara Menggunakannya :
Start System Information
Pilih list dan klik go.
38
17. VERIFY / CREATE HASH
39
18. HASH SETS
40
1. New Hash Database : berfungsi untuk membuat sebuah hash database baru.
Biasanya berisikan kumpulan hash set, Hash set ini digunakan untuk baik
atau buruknya suatu file menggunakan MD5 dan SHA signature.
Cara Menggunakannya :
Start New Hash Database
Ketikkan Nama Database yang akan dibuat.
Klik ok.
ScreenShoot :
41
2. New Hash Set : berfungsi untuk membuat sebuah hash set baru yang
didalamnya terdapat hash database yang aktif.
42
Cara Menggunakannya :
Start New Hash Set
Isikan field yang ada dijendela new hash set
Klik Create.
Note :
Origin : File original. Tergantung ruang lingkup database ini yang bias lebih
spesifik seperti “Bill PC” or atau sebuah organisasi.
Product type : Tipe produk apa yang filenya berkaitan dengan contoh
pengolah kata,atau editor gambar.
Manufacture : Perusahaan atau orang yang membuat beberapa file tersebut.
Set type : Sebuah klasifikasi untuk set file. Contohnya baik atau buruk, dll.
OS : Sistem operasi yang berkaitan dengan file tersebut.
Set name : Nama yang akan diset untuk Hash Set.
Version : Versi dari file teserbut.
Language : Bahasa yang digunakan dalam file tersebut.
Folder : Direktori dimana mencari file yang ditambahkan di set. Semua
Folder
3. Create Hash : berfungsi untuk membuat hash atau mengubah file atau partisi
dalam bentuk hash.
Cara Menggunakannya :
Start Create Hash
Pilh File dan browse
Pilih hash function
Klik Calculate.
Note :
File : browse menggunakan file yang akan di buatkan hash nya.
Volume : untuk memlih drive yang akan di buatkan hash nya.
Text : menggunakan teks yang akan di buatkan hash nya.
Hash Fuction : untuk memilih tipe hash nya.
43
Screenshoot :
44
20. COMPARE SIGNATURE
Modul yang memungkinkan pengguna untuk membandingkan tanda
tangan yang dihasilkan sebelumnya. Ringkasan dari setiap perubahan antara
tanda tangan akan ditampilkan kepada pengguna.
Cara Menggunakannya :
Start Compare Signature
Pilih file yang akan dibuka pada old signature
Pilih file yang akan dibuka pada new signature
Klik Compare.
45
22. DRIVE IMAGING
Fungsi disk imaging memungkinkan penyidik untuk membuat dan
mengembalikan file disk image, yang bitby-bit salinan dari partisi, disk fisik
atau volume. Disk imaging sangat penting dalam mengamankan salinan dari
perangkat penyimpanan, sehingga dapat digunakan untuk analisis forensik
tanpa risiko integritas data asli. Sebaliknya, file gambar dapat dikembalikan
kembali ke disk pada sistem.
Seorang penyidik forensik mungkin perlu berurusan dengan disk fisik
yang merupakan bagian dari konfigurasi RAID. Tanpa akses ke RAID
controller yang dibutuhkan untuk menciptakan array RAID, mungkin sulit
untuk merekonstruksi disk logis untuk analisis forensik. Mengingat satu set
gambar disk, OSForensics dapat membangun kembali citra logis berdasarkan
parameter RAID yang ditentukan. parameter RAID dari software RAID dibuat
di Linux dan Windows dapat secara otomatis terdeteksi.
Drive Imaging : pencitraan drive atau mengkopy drive.
Cara Menggunakannya :
Start Drive Imaging
Pilih Source Disk
Pilih Target Image File.
46
Note :
Source Disk : Lokasi penyimpanan yang akan dibuat copyan nya.
Target Image File : tempat copyan yang akan ditempati sebagai tempat save.
49
Copy dan paste kunci ini ke username dan field kunci.
Ketika Anda pilih install, OSForensics akan membuat direktori pada USB
drive (misalnya F: \ OSForensics), menyalin semua file dari direktori
OSForensics (misalnya C: \ Program Files \ OSForensics) ke drive USB
(misalnya F: \ OSForensics) dan menginstal informasi lisensi ke drive USB.
25. LICENSE KEYS
Setelah membeli perangkat lunak kunci lisensi dikirimkan melalui E-
mail. kunci lisensi ini harus dimasukkan ke dalam perangkat lunak
OSForensics. Jendela registrasi baik dapat diakses bentuk jendela diterima
dengan mengklik "Upgrade ke versi Professional" atau menggunakan "Daftar"
tombol pada side bar navigasi.
Ketika memasuki kunci lisensi, copy dan paste kunci lisensi dari E-
mail. Melakukan copy dan paste akan menghindari kemungkinan kesalahan
pengetikan.
Find your license key
Setelah Anda telah menempatkan pesanan Anda akan menerima e-mail
yang berisi rincian tentang pesanan Anda, nama pengguna dan kunci lisensi Anda.
Seharusnya terlihat seperti ini:
50
26. ABOUT
51
E. KESIMPULAN
Di era digital modern ini bentuk kejahatan di antara social society di dunia
sangatlah canggih, tidak lagi para pelaku kejahatan menampakka diri secara fisik,
namun mereka dapat menggunakan kecanggihan teknologi digital sekarang ini,
dengan menggunakan jaringan komputer, alat elektronik, dan lain sebagainya.
Untuk itu diperlukan peralatan dan aplikasi software dan hardware untuk dapat
mengidentifikasi dan menganalisis bentuk kejahatan digital tersebut. Maka dari
itu para ahli software di seluruh dunia membuat software untuk dapat
memecahkan masalah kejahatan teknologi digital dengan berbagai fiture yang
memudahkan pengguna. Maka dari itu aplikasi OS Forensik ini adalah salah satu
software untuk dapat menangani kejahatan cybercrime dan dapat menganalisis
guna membantu penyelidikan kasus. Dari beberapa penjabaran dan penjelasan
terperinci di dalam makalah ini mengenai aplikasi OS Forensik serta petunjuk
pemakaian nya, dapat di simpulkan bahwa OS Forensik sangatlah baik digunakan
untuk menangani kasus cybercrime, dengan bnyak fitur dan memudahkan
pengguna dalam memakainya.
52