Ringkasan Forensic

Types & Role of Analysis
Computer Forensic Core Concepts o Technical analysis → berbau hacking, malware, virus
Digital Forensic: tindakan untuk melakukan pengumpulan, pengamanan, validasi, identifikasi, o Content analysis → berbau hoax (mostly dia pake tools, ga terlalu technical)
analisa, interpretasi, dokumentasi dan mempresentasikan bukti-bukti digital untuk membangun
rekayasa ulang sebuah kejadian untuk mengungkap fakta sebuah tindakan kriminal Basic Cyber Forensic Skill
berdasarkan hasil pengujian dan pengamatan. a. Technical Ability
b. Investigate Ability
Artifacts: sebuah sisa-sisa atau traces dari suatu sistem setelah suatu kejadian terjadi dan dalam c. Communication Ability
kasus tertentu bisa dijadikan sebagai barang bukti.
Digital Forensic Method:
Evidence: sebuah benda/data yang digunakan dalam proses hukum, kehilangan Preservation -> Collection -> Validation -> Identification -> Analysis -> Interpretation ->
“evidence/barang bukti” dapat menjadi suatu masalah bagi Investigator. Documentation and presentation of digital evidence.
Locard Exchanged Principle -> “in the physical world, when perpetrators enter or leave a crime Digital Forensic Investigation:
scene, they will leave something behind and take something with them - Data Recovery
- Identity Theft
Kegunaan Digital Forensic - Malware and Ransomware Investigation
● Criminal Investigation -> menginvestigasi kasus kriminal, cukup self explanatory - Network and Internet Investigation
● Civil Litigation -> sebagai penyelesaian sengketa perdata di pengadilan. - Email Investigation
● Intelligence -> untuk mengumpulkan informasi secara digital, bisa berbentuk bukti - Corporate Espionage
transaksi, atau bukti” lain - Child Pornography Investigation, etc.
● Administrative matters -> penggunaan digital forensik di investigasi non criminal.
Contohnya mencari pegawai yang melanggar policy atau peraturan dari sebuah organisasi, Digital Forensic Process:
data breach investigation, auditing, intellectual property theft, dll. 1. Acquisition
pengumpulan bukti digital untuk diteliti, tergantung, ini bisa berupa akusisi physical hard
Forensic Organization: drives, optical media, storage card, handphone, chips, atau hanya sebuah document
- Scientific Working Group on Digital Evidence (SWGDE) file. Nanti stelah diakusisi, diduplicate dulu biar datanya lebih terintegrate (syarat standar)
- American Academy of Forensic Sciences (AAFS) 2. Analysis
- American Society of Crime Laboratory Directors (ASCLD) Identifikasi = menentukan letak asset digital pada evidence. Analisa = analisa dengan
- National Institute of Standard and Technology (NIST) metode sesuai dgn data yang diprocess (log analysis, statistical analysis, cara analisa
- American Society for Testing and Materials (ASTM) lainnya). Interpretation = berdasarkan hasil analisa, investigator merangkai rekayasa
ulang kejadiannya bagaimana, dari alur, process, hingga efek dari kejadian itu.
Subfield of computer forensic: 3. Presentation
a. Intrusion and Malware Analysis → examining malware (network/hard drive/log) investigator mempresent datanya kepada pihak penting. menjelaskan secara detail
b. Media Exploitation → kegiatan biasa tapi terjadi/barang buktinya ada di digital (criminal, penemuan dan alur dari barang bukti yang berhasil diakuisisi (Chain of Custody), tidak
terrorism, kidnapping) jarang investigator juga harus me-defend konklusi yang dia buat berdasarkan analisanya.
c. E-discovery → bedanya sama yang kedua, dia cuman berperan seperti pihak ke-3 atau
validator di pengadilan (buat crosscheck dengan investigator di sana) Evidence Source Example
d. Mobile Device → examining mobile devices + mobile malware analysis 1, Digital: Hard Drive (HDD, SSD, IDE, SCSCI, SATA, etc.), RAID, Flash Memory/ Flashdisk, RAM
e. Cyber Threat Intelligence → pake bbrp Teknik buat provide information dan ngemanfaatin Memory , Smartphone
itu buat ngeprevent dari further attack (ngevisualisasiin karakteristik attacknya buat 2. Non-Digital: Password, Username, IP Address, Domain, Subdomain, Online storage OR Sticky
ngeformulate IOC (indicator of compromise), combine IOC buat formulate TTP notes around computer, under keyboard, notebooks, planner
(Techniques, Tactics, Procedures)
1 2
8. Copious note taking -> Semua penemuan, perubahan, dan data dari image harus
dimasukin ke report.
Cyber Forensic Acquisition
Forensic acquisition adalah sebuah tindakan untuk mentransfer digital evidence ke image file
dan digunakan untuk analisis dan prosecution dari crimenya, bukti ini gaboleh di copy paste, Principle of Acquisition
harus kloning karena bisa mengubah barang buktiny ● Old School
Examer tidak akan membuat perubahan kepada barang bukti selama pengambilan, cara
Forensic Image → a bit-level copy of all data on suspect digital media, not same as Windows file yang digunakan dalam extract data antara lain: Hard drive extraction, write - blocking
copy (Read only) standard dead imaging techniques (proses imaging saat media penyimpanan tidak aktif).
● New School
Forensic Acquisition process: Dibandingkan old school, disini examiner diperbolehkan melakukan perubahan tetapi
1. Sterilization destination media diusahakan seminimum mungkin. Dengan cara antara lain: Live acquisition, RAM
- Formatting destination media. acquisition.
- Make zero byte on hard disk (proses ngeclear tempat penaruhan file image lu) → Tools : NB. Modern network intrusion, encryption, malware attack -> lebih cocok ke New School
AOMEI, puran wipe disk:
Security Option 1 → harddisknya cmn didelete kyk biasa (ga safe, deleted file masih bs Logical vs Physical Images
direcover) ● Logical Images
Security Option 2 → write 1 pass random data + 1 pass of zeros, over entire disk ○ Does not capture volume slack, additional partitions, atau unallocated space.
Security Option 3 → write 2 passes random rada + 1 pass of known data, over entire disk Jadi informasi yang “relevan” aja. (ex: D: aja)
Security Option 4 → writes over the data 7 times (US standard) ○ Prefered dan juga De-facto standard
2. Identify Evidence -> sumbernya dari device mana aja ex: kejadiannya dmn, victimnya ● Physical image
siapa ○ 1 to 1 image sm evidence nya (capture everything)
3. Create & maintain chain of custody ○ Digunakan saat
- dokumentasi semua proses forensik secara step by step. Seperti cara ■ Ukuran hard drivenya terlalu besar
mengamankan, transport, dan verifikasi barang yang kita dapatkan untuk ■ Evidence menggunakan RAID system
diinvestigasi agar dapat digunakan nanti dalam sidang perkara dan dapat dijadikan ■ Jika permit yang diberikan hanya untuk section kecil saja
bukti, siapa yang melakukan apa, dan kapan hal tersebut terjadi kepada barang
bukti tersebut. -> demonstrate “trust” kepada pengadilan dan masyarakat bahwa Dead Aqusition Basic Process (imaging biasa (di device yg mati) dan gabakal alter any data di
bukti tidak ditampered disknya):
- Collection, Examination, Analysis, Reporting of Media -> Data -> Information -> 1. Option 1 : Pull the hard drive
Evidence a. Extract the hard drive
Poin” penting dalam chain of custody document: b. Attach Write blocker device
● How was the document collected? c. Use software imaging tools and hash
● When was it collected? d. Take notes
● How do you transport it? Dapat digunakan pada shutdown computer, external hard drive, usb, cd/dvd
● How was it tracked? 2. Option 2 : Linux boot CD/USB
● How was it stored? a. Pilih linux boot cd
● Who has access? b. Masukan boot cd ke komputer dan set bios boot dari cd / usb
4. Using write block device (optional) c. Pilih imaging dan hashing option
- dibuat read - only tanpa merusak atau merubah isi dari drive tersebut. d. Take notes
- Deepfreeze di install pada komputer windows target
- Di lab akan dilakukan image mounting Live Acquisition Basic Process (Saat melakukan live acquisitions pastikan menggunakan
5. Create image -> Dilakukan agar originalitas data tidak berubah (tools: FTK imager, image approach yang tidak invasive, dan berpikir sebelum melakukan apapun. Mulai dari data yang
format: .E01 (Encase) , Raw dd .001, AccessData Custom Content Image .ADI) paling volatile, misalnya evidence yang ada di RAM):
6. Hash Image -> Image yg diclone akan dihash buat ngeverif barang buktinya selalu sama 1. Setup usb or network collection repo
7. Verify hash image, Tools HashCalc (min.3 jenis hashing) Untuk tracking lalu lintas jaringan dan data yang dapat diakses pengguna.
2. Collect volatile memory
3 4
Mengumpulkan terlebih dahulu memory yang bisa berubah cepat (ram, cache..) - SSDs yang menerapkan TRIM Technology yang membuat data lebih mudah dihilangkan.
3. Unplug network connection - Environment tanpa DFIR Personel yang terlatih, dimana sebuah kejadian dapat terjadi dan
Karena disatu sisi menghindari purging data dari pihak ke 3, tetapi bisa membatasi device berlalu tanpa ada yang sadar.
tersangka juga.
4. Direct live acquisition tools to storage repository and create forensic image Storage and Memory -> Data dapat di store dengan berbagai cara, ada 4 cara yang umum untuk
5. Collect live state information: network connections, running process, open port, etc. dilakukan antara lain electromagnetism, microscopic, electrical transistors(flash), and
6. Take notes! reflecting light (CDs, DVDs, etc)
Data Volatility -> tipe ini bisa berubah sewaktu-waktu tanpa adanya warning, ex: RAM, di RAM Jenis-jenis memory
data bisa “ada” selama ada listrik yang mengalir atau klo programnya diterminated maka - Magnetic Disk: Kebanyakan drives sekarang pakai magnetic, cara kerjanya adalah ketika
activitynya hilang. Beda dengan hardisk disk-termagnetisasi dibaca dengan 1, dan apabila tidak dibaca dengan 0 Contohnya ada
Hard Disk Drive (HDD) dan Floppy Disk (Disket)
Order of Volatility - Flash Memory: Flash memory digunakan dengan cara melihat tegangan elektrik yang
1. CPU, cache, register content diberikan, pada saat ada tegangan elektrik (charged) maka akan dibaca sebagai 1, tanap
2. Routing table, arp cache, kernel statistic, process table adanya tegangan yang masuk akan dibaca sebagai 0. Contohnya ada USB Flash Drive
3. Memory (Flashdisk) dan Solid-State Drive (SSD)
4. Temporary file system/swap space - Optical Storage: Adalah jenis storage yang menggunakan cahaya laser untuk melakukan
5. Remotely logged data read dan write di memory.Contohnya antara lain adalah Digital Versatile Disc (DVD) dan
6. Data contained on archival media CD ( Compact Disc)
Forensic Acquisition Checklist -> Checklist setelah securing sebuah bukti Contoh RAM:
1. Apa aja jenis devices yg ada? - Extended Data Output RAM (EDO RAM)
2. Ada berapa devices yg diselidiki? - Synchronous Dynamic RAM (SDRAM)
3. Apakah devicesnya itu bisa jalan? - DDR-SDRAM/DDR 1 (Double Data Rate - SDRAM) - 400 MT/s & max 3,2 GB/s
4. Tools apa yg diperlukan? - DDR 2 - 800 MT/s & max 6,4 GB/s
5. Apakah dibutuhkan expertise? - DDR 3 - 1.600 MT/s & max 14,9 GB/s
Kind of documentation: Photography, notes, chain of custody - DDR 4 - 3,200 MT/s & max 21 GB/s
- Graphics Double Data Rate Synchronous Dynamic RAM (GDDR SDRAM)
Chain of Custody 101
1. Buktinya ga bisa sembarang semua bukti dipakai, hrus memenuhi syarat, salah satunya Computing Environments -> Pada suatu computing environment dengan computing
chain of custody yang jelas tanpa ada yg kurang environment yang lain tentunya tidak sama, pasti ada perbedaan di masing-masing computer,
2. Semua proses hrus dicatat (cth. Dalam transportasi komputer bukti, mobile berhenti berapa seberapa besar networknya dan bahkan kompleksitas sistemnya. Environment sendiri bisa kita
kali dicatat, setiap kali bukti berpindah tangan, lokasi, smua dicatat) bagi ke 4 macam, stand-alone, networked, mainframe, dan cloud
3. Terkumpul di lab, dikeluarin untuk dianalisis, dimasukin lagi untuk disimpan, dll
4. Kalau 1-3 di atas ga terpenuhi, bukti didismissed karena dianggap kurang oke Cloud Computing -> Model Computation yang memungkinkan akses ke sumber daya computer.
Sumber daya ini disediakan oleh penyedia layanan cloud dan dapat diakses secara fleksibel.
Evidence Marking 101 Modelnya ada 3:
1. “Link” Pertama -> org yang nemuin + collect bukti 1. IaaS (Infrastructure as a Service)
2. Buktinya bakal ditandai dengan Initial, tanggal, case number, location, collection by, desc -> Menyediakan layanan infrastruktur komputer dasar, seperti server virtual, storage virtual,
umumnya ditulis pake spidol permanen jaringan virtual dan virtual machine. Contoh paling simplenya VPS.
3. Orang yg nemuin + collect bakal ditanya utk identifikasi dari sisi bukti 2. PaaS (Platform as a Service)
Menyediakan platform yang difasilitasi dengan tools pengembangan yang mencakup alat
Contoh Faktor penambah Kompleksitas Digital Forensic: untuk melakukan build, test dan run software. Contohnya adalah Google Apps Engine &
- Penggunaan Wifi Publik Heroku.
- Penggunaan media komunikasi yang membuat komunikasi antar pesertanya sulit dilacak 3. SaaS (Software as a Service)
(contoh Telegram) Simplenya adalah menyediakan layanan yang sudah siap pakai alias sudah jadi dan user
- Penggunaan VPN (Virtual private Network) tinggal menggunakannya saja, contohnya ada Gmail & Microsoft 365.
5 6
Terabyte 1.048.576 Megabytes

File System and Data Structures Petabyte 1024 Terabytes
File System adalah sistem dasar yang bertanggung jawab atas manajemen, organisasi dan Exabyte 1.048.576 Terabytes
alokasi raung file direktori pada media digital. (organize, allocation filenya di sector mana)
Zettabyte 1 Billion Terabytes
Operating System adalah software yang bertanggung jawab untuk mendukung jalannya
komputer, aplikasi dan interfacing hardware dan software. Hard Drive Data Structures
*Slack Space -> area sisa diantara akhir
Numbering Schemes: file dan akhir cluster (RAM Slack + File
a. Binary -> Base 2 System (0-1) Slack)
Bit: Satuan data unit di computing, biasanya direpresentasikan dengan 0 (off) atau 1 (on). *RAM Slack -> area sisa antara akhir file
Byte: Kumpulan dari 8 bit. dan akhir sector
Binary: cara numbering yang hanya menggunakan 0 dan 1, pusing? *File Slack -> sektor sisa yg ga kepake
ketika sebuah file disave ke cluster
0000 0001 -> Cara penulisan ini disebut Binary (base2)
-> ada 8 bit disana (8 angka yang either 0 atau 1), ini namanya 1 byte Conclusion: Di hard drive, ada cluster”. Cluster akan berisi beberapa sector utk penyimpanan file,
-> setiap 0 atau satu disana disebut 1 bit/ sebuah bit. file ini bisa aja ngambil beberapa sektor, tapi ada kasus di mana filenya ga nempatin full cluster,
Contoh penggunaannya adalah di ASCII Number, misalkan A itu memiliki ASCII Number 65 makanya bisa ada slack space
dalam penyimpanan komputer akan disimpan dalam mode binary, cara nulisnya gini. - File creation: filesystem alokasi cluster utk lokasi fisik file yg akan dicreate di hard disk
- File deletion: filesystem dealokasi cluster utk delete file ini, ditandai jadi “available” (jadi
‘A’ = 0100 0001 , cara ngitungnya gini ketika file didelete, data remains di hard drive tpi komputer ga kenal tempat file itu di mana)
= 2⁷ x (0) + 2⁶ x (1) + 2⁵ x (0) + 2⁴ x (0) + 2³ x (0) + 2² x (0) + 2¹ x (0) + 2⁰ x (1) - Ketika sebuah file baru overwrite sebuah deleted file, amka overwritten data itu dh
= 0 + 64 + 0 + 0 + 0 + 0 + 0 + 1 unrecoverable
= 65 (dalam ASCII) - Tapi, ketika file baru itu lebih kecil sizenya drpd deleted file, maka ada slack space
(slack space ini bisa aja berisi valuable evidence)
b. Octal -> Base 8 System (0-7) - File Carving -> process extract data dari disk atau storage device lain tanpa memerlukan
c. Decimal -> Base 10 System (0-9) bantuan file system yg originalnya digunakan untuk created file (kek misalnya ada file yg
d. Hexadecimal -> Base 16 System (0-F) kehapus, tpi ternyata masih ada di hard drive, bisa jadi itu full ada filenya atau partially
Hexadecimala / hex, adalah cara penulisan numbering dengan base16, yangmana itu akan doang filenya tpi ttp ada dan bisa dipakai untuk disusun jadi sebuah file utuh), biasanya
menggunakan 1-9 dilanjutkan dengan a-f (10-15) nya, lalu ketika dia mencapai angka 16 berguna kalo komputer corrupt atau computer directorynya hilang
maka dia akan berulang ke 1, misal sudah 0xf (15) angka 16 akan direpresentasikan - File fragmentation: ketika sebuah file jdi beberapa potongan file yg tersimpan di cluster
dengan 0x10 berbeda di hard drive, ni bisa terjadi saat create, delete, atau modify files di komputer.
Contohnya ketika kita simpan sebuah file, file ini tersimpan di gap cluster yg tersedia di
ASCII vs UNICODE hard drive, tpi klo gapsnya kekecilan, sisanya bakal disimpan di gap lain yg tersedia.
Bedanya secara singkat padat jelas, ASCII adalah American Standard Core for Information Minusnya adalah file carving jadi agak susah + lama (gampangnya satu file clusternya ga
Interchange yang mana ini hanya akan mencover chars dengan total 128 character, dan 94 berkelanjutan)
printable character (Total 256 different possible representation), UNICODE digunakan untuk File defragment: diurutin lagi biar 1 file clusternya saling sebelahan
merepresentasikan semua karakter yang ada di dunia (65.536 different possible representation).
1. Microsoft Windows
Data Size - File System: File Allocation Table (FAT) Win XP, namun pada Win 7 menggunakan
New Technology File System (NTFS)
Kilobyte 1024 Bytes - Maximum Volume Size: 8 Petabytes (PB) on newer versions of Microsoft server
Megabyte 1.048.576 bytes (2019 and newer) and Windows 10 version 1709 and newer. Older versions support
up to 256 TB
Gigabyte 1024 Megabytes - NTFS Features: Compression, Encrypted File System (EFS), Disk quotas
7 8
- NTFS = Cluster ( seperti penyimpanan buku di perpustakaan lama) , defragment - Super Block, berisi essential information tentang file system nya.
menggeser tiap sektor agar menjadi rapat disusun rapih untuk mempercepat - Group Descriptors, berisi tentang informasi tambahan, seperti available free block,
pembacaan hardisk inodes.
- Block Bitmaps, track data block mana yang sedang digunakan dan yang mana yang
- 1 hardisk = bisa banyak cluster (tergantung size dr HDDnya)
free. Begitu juga allocating dan delocating data blocks.
- 1 cluster = 4 sector - Inodes Bitmaps, Hampir sama dengan block bitmaps, tapi penggunaannya untuk
- Sector -> buat naro data byte dri file (512 bytes) inodes
- Topology - Inodes:
- Inodes merupakan struktur data yang merepresentasikan file dan juga
directory.
- Setiap node memiliki metadata, isinya bisa jadi permission, timestamps, dll
- Dikumpulkan jadi inodes table.
● NBS = buat store info dari volume layout sama structure file systemnya - Data Blocks:
● MFT = essential infor buat retrieve file (ex: file attributes) - Available storage space dibagi ke data blocks ini
- Biasanya 1 block store 4kb data
● FSS = data yang ga masuk di MFT
- Yang handle storing data
● MFTC = copies dari recovery related key records (portion ini penting buat recovery)
2. Macintosh (MacOS)
- File System: Hierarchical File System (HFS+)
- Maximum Volume Size: 2TB
- Maximum supported file size: 2GB
3. Linux
- File system: Fourth Extended File System (EXT4)
- Maximum Volume Size: 1 EiB
- Maximum supported file size: 16 Tebibytes (TiB)
- Dia defragment sendiri tapi rada dellay stelah file deletion Topology Ext4
- Block Groups, EXT4 membagi penyimpanan ke dalam storage group.

9 10
○ Unknown : cannot perform SPF check

Email and History Forensic ○ Error : error while performing SPF check
● DKIM Signature : sertifikat keaslian email
Email Folder Structure
d. Internet browser analysis
● Inbox -> Mail that was received by the user
● File downloaded
● Outbox -> Temporary holding area for message and by the user but not yet processed by the server
● Webmail
● Sent Items -> Mail that user sent
● Social networking activity
● Drafts -> Unfinished email message
● And much more
● Deleted Items -> Mail that user deleted
Email Process
File yg bisa dianalisa menggunakan sqlite database:
a. Sending
- Mozilla firefox ->. Places.sqlite
● User writes maill (disimpan dalam "Draf" hingga selesai).
- Chrome -> History.sqlite
● User sends mail (disimpan dalam "Outbox" hingga dikirim oleh server).
● Server complete sending mail (disimpan dalam "Email Terkirim").
Location of Google Chrome history
● User deletes maill (disimpan dalam "Item Dihapus" hingga dihapus permanen).
Windows XP
b. Receiving
C:\Documents and Settings\\Local Settings\Application Data\Google\Chrome\User
● User receives mail (disimpan dalam "Inbox").
Data\Default
● User deletes mail(disimpan dalam "Item Dihapus" hingga dihapus permanen).
C:\Documents and Settings\\Local Settings\Application Data\Google\Chrome\User
● User purges delete (meskipun email yang dihapus masih bisa dikembalikan dari ruang
Data\Default\Cache
penyimpanan atau tempat tidak terlokasi).
Windows Vista, 7, 8, 10
Email analysis C:\Users\\AppData\Local\Google\Chrome\User Data\Default
a. Email Extension : C:\Users\\AppData\Local\Google\Chrome\User Data\Default\Cache
● Outlook Mac OS X
○ Personal storage files (.pst) /Users//Library/Application Support/Google/Chrome/Default
○ Offline storage table (.ost) /Users//Library/Caches/Google/Chrome/Default/Cache • Linux/Unix
○ Exchange Database file (.edb) /home//.config/google-chrome/Default /home//.cache/google-chrome/Default/Cache
● Outlook express (.dbx) Linux
● Thunderbird (.msf) /home//.config/google-chrome/Default
b. Outlook Container Files /home//.cache/google-chrome/Default/Cache
● Mac Internet Exploler Forensic
○ /Users//Library/GroupContainers/UBF8T346G9.Office/OutIook/Oudook 15 C:\Users\\Local\Microsoft\Windows\
○ Profiles/MainProfile/Data/MessageSources Index.dat file
○ OLK File Berisikan record keywords yang dicari, URL visited, web mail access.
○ OLK14 MESSAGE file = hanya menyimpan header information. C:\Users\<username>\Local\Microsoft\Windows\History.IES\index.dat
○ OLK14 MSGSOURCE = menyimpan email message with attachments C:\Users\<username>\Local\Microsoft\Windows\History.IES\Low\\index.dat
○ OLKMSGAttach : tempat menyiman attachment email C:\Users\<username>\Roaming\Microsoft\Internet Explorer\User Data\index.dat
● Windows C:\Users\<username>\Roaming\Microsoft\Internet Explorer\User Data\Low\index.dat
○ C:\Users\\AppData\local\Microsoft\Outlook Cookies
○ Archive.pst or ost file C:\Users\<username>\Roaming\Microsoft\Windows\Cookies\
c. Gmail Header Analysis -> Untuk memeriksa kapan waktu perkara terjadi (jam berapa, server C:\Users\<username>\Roaming\Microsoft\Windows\Cookies\
mana). Tools : gtoolbox. Cache
● Delivered To : alamat email atau nama yang terkait dengan penerima email Temporary file untuk menyimpan browsing activities
● Received By : alamat IP atau nama server yang digunakan untuk menerima email.
● Received From : sumber email, yaitu alamat IP atau server yang awalnya mengirim email.
● Received-SPF : metode verifikasi yang digunakan untuk memeriksa apakah server yang
mengirim email diizinkan untuk mengirim email atas nama domain tertentu.
○ PASS : valid
○ Softfail : possibly fake source
○ Fail : absolutely invalid
○ Neutral : between valid & invalid
○ None : SPF record not found for domain
11 12
SID (Security Identifiers)
File Timeline and Forensic Analysis *window command prompt*
→ rekontruksi kejadian secara berurutan berdasarkan waktu dari start time sampai finish time Microsoft Windows [Version 10.0.17134.48]
(biasanya finish di waktu penangkapan)
C:\WINDOWS\system32>wmic useraccount get domain, name, ssid
MFT File TimeStamp (MACE) Domain Name SID
- Last Modified LAPTOP-AK Aditya S-1-[censored]-1001
- Last Access LAPTOP-AK Administrator S-1-[censored]-500
- File Created …
- MFT Entry Modified -> waktu last modified metadata filenya *end of the image*
*create date bakal reset kalo filenya dicopy ke new device
*accessed time are unreliable, bisa ke update sm antivirus scan Universal SID String value Identifies
Null SID S-1-0-0 Dipake klo SID valuenya tdk diketahui

MACE Time Triangulation
-> gabisa hanya bergantung ke 1 timestamp source doang, harus ada banyak sumber baru World S-1-1-0 Satu group yang include semua user
timelinenya bisa valid
Local S-1-2-0 User biasa
WINDOWS TIME RULES (Modified, Access, Creation, Metadata) Console Logon S-1-2-1 User yang pake physical console
*Yang ditulis brarti changed, ga ditulis brarti unchanged
- $STDINFO ($STANDARD_INFORMATION) -> metadata (flags, SID, file owner, MAC(b) Creator Owner ID S-1-3-0 SID User yang buat object baru
timestamps) -> mostly modified by users
Creator Group ID S-1-3-1 Primary Group SID User yang buat object
- File Rename: Metadata baru dari primary-group
- Local File Move: Metadata
- Volume File Move: Access, Metadata Owner Server S-1-3-2 SID Server owner object tsb
- File Copy: Access, Creation, Metadata
Group Server S-1-3-3 SID Group server owner object tsb
- File Access: Access (Unchanged on Win7/8)
- File Modify: Modified, Metadata Owner Rights S-1-3-4 Current owner object
- File Creation: Modified, Access, Creation, Metadata
- File Deletion: - Non-unique Authority S-1-4 Identifier authority
- $FILENAME -> forensically bits like MACB times, file name, file length, etc. -> mostly NT Authority S-1-5 Identifier authority
modified by OS
- File Rename: - Dialup S-1-5-1 User yg signed-in ke sistem via dial-up
- Local File Move: Modified, Metadata
Local Account (and S-1-5-113 Restricting network sign-in, bisa block
- Volume File Move: Modified, Access, Creation, Metadata member of Administrators (S-1-5-114) network sign-in utk user (group) local
- File Copy: Modified, Access, Creation, Metadata group)
- File Access: -
- File Modify: - Remote Interactive Logon S-1-5-14 User yg logged on melalui terminal
services logon
- File Creation: Modified, Access, Creation, Metadata
- File Deletion: - This Organization S-1-5-17 Account yang pake IIS user
investigasi kasus kasus intrusi (illegal access) Local System S-1-5-18 Service account dari OS
NT Authority S-1-5-19 Local Service

User Profile/Attribution
- Kejadian yang terjadi menyangkut user tersebut NT Authority S-1-5-20 Network Service
- Carinya dimana? Internet history, downloaded files, email, My Documents, Ntuser.dat,
Administrator S-1-5-21domain-500 Administrator (Full control over system)
registry file, dll
13 14
Guest S-1-5-21domain-501 Orang yg ga punya individual acc - Windows cuma show 15 file terakhir yang diakses
- C:\Users\<username>\AppData\Roaming\Microsoft\Windows\Recent
KRBTGT S-1-5-21domain-502 Service Account yg dipakai Key Distribution b. Dekstop Folder → user taruh aplikasi yang oenting dan sering dipakai
Center (KDC) service c. My Documents → files, music, pictures, user-created files
d. Temp Folder
Domain Admins S-1-5-21domain-512 Domain Admin itu member yang Admin
group dh join di domain Dia nyimpen file sementara buat :
- Program install
Domain Users S-1-5-21domain-513 User account dalam sebuah domain - File download
- Program access to file
Domain Guests S-1-5-21domain-514 Global group yang cmn punya 1 member
(domain’s built-in guest account) - C:\Documents and Settings\<username>\Local Settings\Temp
Domain Computers S-1-5-21domain-515 Semua comp. yg join domain
Protected Users S-1-5-domain-525 Protected users
All Services S-1-5-80-0 Include semua service processes di sistem
Recycle Bin Analysis

- Parent foldernya disebut “$Recycle.Bin”
- Disimpen didalem SID user
- Tools yang bisa dipake “Rifiuti2” buat extract deletion time, original path, dan size dari file
yang dihapus
Recycle Bin Bypass

- Shift + delete → hapus permanen, ngeskip recycle bin
- NukeOnDelete → metode biar filenya kehapus juga dari recycle bin
HKLM\Software\Microsoft\CurrentVersion\Explorer\BitBucket
Link Files (Shortcut) Analysis

Kenapa penting :
- Berarti pelaku tau file tsb
- Pelaku benar-benar akses file tsb
- Bisa kasih tau waktu dan tanggal akses
- Bisa prove kalo media sensitif dicopy ke external data
Isi dari Link Files :

- File Name & Path
- Volume serial number, name & type
- File size in bytes
- Netbios Name
- System MAC Address
- MAC times of the target files
- Link Files own MAC times
- Data Stored in Windows System format
Other Location Interest

a. Recent Folder
- Isi link files ke files yang akhir-akhir ini diakses
15 16
File Extensions and Signatures 09 08 10 00 00 06 05 00 ........
DOCX, PPTX, XLSX 50 4B 03 04 14 00 06 00 PK......

Thumbnail Database -> foto thumbnail dari foto di folder (ex: Thumbs.db) JPG FF D8 ÿØ
Contains:
- File Name PNG 89 50 4E 47 0D 0A 1A 0A ‰PNG....
- File Path
- File Create time & date PDF 25 50 44 46 %PDF
- Low resolution version picture
ZIP 50 4B 03 04
Prefetch File -> contain list file/folder yg bakal PST (Outlook) 21 42 44 4E !BDN
diakses sm program klo program itu dirun Swap File -> RAM yg ditaro di harddisk ketika
(WINDOWS GPKE PREFETCH) ramnya butuh memory lagi mkv, mka, mks, mk3d, webm 1A 45 DF A3 ␚Eß£
Contains: Contains:
- Name n path executable - File fragment MP4 66 74 79 70 69 73 6F 6D ftypisom
- Run count of executable - Passwords OR OR
66 74 79 70 4D 53 4E 56 ftypMSNV
- Time n date execution - Indication user activity
- File create time equals first execution time ASF, WMA, WMV 30 26 B2 75 8E 66 CF 11 A6 0&²uŽfÏ␑¦Ù␀ª␀bÎl
- List of file an folder the program accesses D9 00 AA 00 62 CE 6C
Hibernation File -> dipakai windows ketika lagi hibernate mode (Hiberfil.sys) MPEG 00 00 01 BA ␀␀␁³
OR
Pada file, tentunya kalian udah tahu belakangan .pdf .docx .php. Js .py, etc ini namanya file 00 00 01 B3
extensions, yang secara kita (manusia) lihat, tahu isinya kurang lebih apa, tapi ada lagi namanya exe, dll, mui, sys, scr, cpl, 4D 5A MZ
File Signatures ini adalah bagaimana komputer itu tahu file ini itu file apa sebenarnya, cara ocx, ax, iec, ime, rs, tsp, fon,
checknya cukup simple bisa dengan command “file name.png” misalkan. efi
Jadi, basic File Ofuscation technique itu seringnya renaming files + extensionnya. Tapi, hal ini bisa
dicek dengan file signature analysis, yg ngebandingin beberapa bytes pertama dari file dan file Metadata
signature ini harus matching dengan extension. -> data about data
-> Contains:
Magic Number (File Signature) a. Author
Pada file, jika kita lihat secara hexadecimal, di beberapa hex awal akan ada hex khusus yang b. Last saved by
mendefinisikan sebuah file, ini disebut magic number, dengan extension yang sama, jika hex c. Company
berubah maka komputer tetap akan membaca file sesuai dengan extensionnya dan signaturenya, d. Created time
nah disini nih bahayanya. e. Modified time, etc.
File Ext. Hex ASCII I. MsWord Metadata
II. PDF File Metadata
DOC, DOT, PPS, PPT, XLA, D0 CF 11 E0 A1 B1 1A E1 ÐÏ␑à¡±␚á III. Picture Metadata
XLS, WIZ
-> Exif (Exchangeable Image File Format) : .jpg, .tif, .wav (audio)
DOC [512 byte offset] [512 byte offset] -> Data:
EC A5 C1 00 ì¥Á - make and model camera
- photo specifications
XLS [512 byte offset] [512 byte offset] - data and time
FD FF FF FF nn 00 ýÿÿÿ..
or or - geolocation (lang & lat)
[512 byte offset] [512 byte offset] - camera owner & number info, serial number
FD FF FF FF nn 02 ýÿÿÿ.. IV. GPS Data
or or -> East (+), West (-), North (+), South (-)
[512 byte offset] [512 byte offset] -> DMS (Degree, Minutes, Seconds)
17 18
Type Title Description Example

File Log Analysis 2 Interactive Console logon cmd
3 Network Network logon using net use or network share ssl

Apa itu log files?
Berisi informasi activity dari sebuah system, biasanya memiliki peran penting dalam investigasi 4 Batch* Batch logon, bisa diexecute behalf user tanpa
kasus kasus intrusi (illegal access) intervention langsung
Tipe - Tipe system log files: 5 Service Service logon service
● Windows event log
● Dr. Watson Logs 7 Unlock User unlock the workstation Unlock manual
● Internet Information Services (IIS) Logs by user
● Apache Web Server Logs 8 Network User logged ke comp by network
● Syslog Cleartext*
● FTP Logs
● Firewall / IDS Logs 9 NewCredentials* Caller cloned token + specify credential baru
untuk network connections lain
● Database / MySQL Logs
10 Remote Logon using terminal services or rdp rdp
Windows Event Logs Interactive
● Akan merekam semua yang terjadi di windows system dan bisa di set / configure
11 Cached User logon pake network credentials yg
● Simpennya dengan format khusus jadi butuh Windows event viewer / third party programs
Interactive* disimpan local di komputer
buat access
● Isinya?
○ Date & time
Dr Watson logs
○ User yang logged on
Saat terjadi error pada program sebuah log file dalam bentuk text akan dibuat oleh OS
○ Nama komputer
dengan nama Drwtsn32.log. Dr watson logs bisa ditemukan dengan windows search atau di
○ Event ID
Documents and Settings\All users\Application Data\Microsoft\Dr Watson
○ Sumber dari event (Aplikasi mana yang mentrigger event)
○ Tipe eventnya (Error, warning, information, dll)
Apache log server
● Penyimpanannya
● Penyimpanannya
○ Application event log
○ Debian & Ubuntu
■ C:\windows\system32\config/AppEvent.evt
■ /var/log/apache2/access.log
○ System event log
○ Fedore, Centos & Redhat
■ (C:\Windows\System32\config/SydEvent.evt)
■ /var/log/httpd/access_log
○ Security event log
● Grep commandnya: sudo grep -i 200/var/log/apache2/access.log
■ Ketika login
Web server based pokoke.
Application Event Log

● Ngerekam events yang logged by programs
%h - IP Address
System Event Log
%l - Identd dari client
● Ngerekam event yang logged by Windows system components
%u - User ID client
Security Event Log (Logon)
● Ngerekam event seperti ada logon attempts, policy changes, dan event” yg related ke %t - Timestamp
resource use
%r - Request dri client, bisa get / post
%>s - Status code

19 20
%O - Size dari file yang di request ● SELECT
● 1’ OR 1=1
%{referer} - linknya, bisa dari internal atau external ● DROP TABLE
● SLEEP
%{user-agent} - User agent dari client ● ‘
● 1%20OR%203*2<(0%2b5%2b172-172) {1 OR 3*2<(0+5+172-172)}
Contoh?! XSS
"192.168.4.25 - - [22/Dec/2016:16:40:12 +0300] "GET ● <script> </script>
/index.php/component/content/-1%20OR%203*2<(0%2b5%2b172-172)/2-uncategorised/1-testsayfasi ● Document.cookie
HTTP/1.1" 500 2065 "http://192.168.4.161/DVWA" "Mozilla/5.0 (Windows NT 6.1; WOW64) ● Alert(“testing”)
AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"" ● <img%20src=x%20onerror=alert(9213);//> {<img src=x
onerror=alert(9213);//>%20src=x%20onerror=alert(9213);//>/component/search/ 108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
HTTP/1.1” 404 586 "http://192.168.4.161/DVWA" "Mozilla/5.0 (Windows NT 6.1; WOW64) 103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"" {<img src=x 108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
onerror=alert(9213);//>/component/search/ HTTP/1.1} 103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
/index.php/component/search/?searchword=ul.menuu0022onmouseover=kzsy(9660)u0022&orde 108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
ring=category&searchphrase=any&areas[0]=categories HTTP/1.1" 200 3278 103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
"http://192.168.4.161/DVWA" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
(KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21"" 108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
/DVWA/vulnerabilities/fi?page='\"()%26%25<acx><ScRiPt%20>H5NJ(9347)</ScRiPt> HTTP/1.1"
301 736 "http://192.168.4.161/DVWA" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21
(KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21""{&%<acx><ScRiPt
>H5NJ(9347)</ScRiPt> }
● "192.168.4.25 - - [22/Dec/2016:16:19:08 +0300] "GET
/index.php/component/content/?format=feed'\"()%26%25<acx><ScRiPt%20>p3oZ(9994)</ScRiPt>
&type=rss&view=featured HTTP/1.1" 500 2089 "http://192.168.4.161/DVWA" "Mozilla/5.0 (Windows
NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0
Safari/537.21""{&%<acx><ScRiPt >p3oZ(9994)</ScRiPt>}
● "192.168.4.164 - - [22/Dec/2016:15:19:15 +0300] "GET /DVWA/
HTTP/1.1”'\"@--></style></scRipt><scRipt>netsparker(0x000008)</scRipt>" 200 1964
"Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/41.0.2272.16 Safari/537.36""
{@--></style></scRipt><scRipt>netsparker(0x000008)</scRipt>}
BruteForce!!!!!!!!!!!
● 127.0.0.1 - - [26/Mar/2015:21:29:15 +0100] "POST /wp-login.php HTTP/1.0" 404 571

127.0.0.1 - - [26/Mar/2015:21:29:15 +0100] "POST /wp-login.php HTTP/1.0" 404 573
23 24
INTRUSION PROCESS AND MALWARE
ANALYSIS
What is intrusion?
Akses yang tidak sah, atau akses ilegal ke sebuah sistem komputer.
The hacking process - Breaking the door:

● Footprinting
● Scanning
● Enumeration
● Penetration
● Maintain Access
● Clearing Track
Follow up hacking process:

● Gather sensitive data
● Encrypt / compress data
● Exfiltrate data
Hacking Process - Evilest:

● Data destruction, ie:
○ Del ‘.’
● Modify data, ie:
○ Manipulasi gaji, nilai, hutang, dkk
○ Defacing web
● Create False Data, ie:
○ Mengirim email yang tidak di unauthorized dari akun supervisor
Hacking Process - Buat kunci access:

● Install backdoor
○ Open a listening port
○ Create a callback to attack
○ Add victim system to a remote command & control
● Sembunyikan jejak
○ Alter timestamps
○ Delete windows event logs
○ Delete prefetch files
○ Use Windows system filenames
25 26
Data Exfiltration 4 stages of malware analysis

Adalah proses pemindahan informasi dari victim ke system attacker. Attacker biasanya ● Manual code reversing
menggunakan teknik sebagai berikut: ● Interactive behavior analysis
● Memindahkan target file ke satu lokasi ● Static properties analysis
● Compress file ke sebuah .zip ● Fully automated analysis
● Encrypt exfiltration filenya
● Pindahkan target file keluar dari network victim dengan tool seperti (netcat, FTP, custom Full-Automated Analysis
malware, SMTP, etc) ● Mengotomasi aspek dari malware analysis adalah suatu yang kritial untuk organisasi yang
memproses banyak malicious programs
Target dari data exfiltration antara lain: ● Automation allows analysts to focus on the task that require human insights
● Keylogger file
● Network enumeration information
● Internet traffic history (banking, financial info) Full-Automated Analysis Toolkit
● SQL database dumps ● Cuckoo by claudio gaurnieri is a open source toolkit
● Specific corporate research and development. ● Zero wine by joxean korent is a full featured tool for dynamically analyzing the behavior of
● Military / governance intelligence windows malware by running it within the wine emulator
● Buster sandbox analyzer by Buster is a wrapper around the Sandboxie tool for windows,
Botnets Investigation which help you examine the key action of applications executed by sanboxie in your lab.
Adalah kumpulan zombie computer yang report back kepada attacker dan bisa digunakan ● Remnux by yours truly is a light weight linux distribution for assisting malware analyst
untuk intensi yang malicious. Misalnya spam, DDOS, Proxy, dll). Extremely common and effective
in modern cybercrime.
Contoh:
● Zeus - Financial Theft
● Mariposa - Data theft / botnet
● CutWail - Spam Engine
Botnets - IRC style (Zombie)

IRC style botnet bisa kontrol kumpulan komputer dari satu pusat kontrol
Powerfull tpi bergantung pada command controlnya
Botnets - P2P
Lebih flexible untuk command dan kontrolnya, sehingga botnet master bisa dimana saja.
Robust and redundant infrastructur jadi susah untuk di takedown
DOS and DDOS Attack

Lebih flexible untuk command dan kontrolnya,
● DOS - Denial of Service attack single attacker
● DDOS - Distributed Denial of Service serangan yang berkoordinasi dari multiple sistem.
Semakin banyak zombie semakin bagus.
● Conficker punya 10 millions zombies
Drive by Download
● Download of malicious software via web browsing without the user consent or knowledge
● Bisa lewat hidden JS, Redirects, Malicious iFrame, ActiveX
● Legitimate website yang di hack dan dropping malware ke visitor
27 28
9. Network Data Analysis Communication Protocols
-> mostly mengenai identifikasi serangan dari sisi jaringan ● TCP (Transmission Control Protocol)
Ex. Malware attack, ddos, arp spoofing, etc. - Connection oriented, kalau connection tidak ada, maka paket data tidak terkirim
- Error-checking untuk ensure data integrity
Seluruh data di jaringan itu merupakan transaksi data yang bisa dicapture dan dijadikan bukti, - Minusnya lebih lewat dari UDP
karena HTTP Request aja bisa menghasilkan entry data yang banyak (DNS server log, router, Ex. HTTP, HTTPS, FTP, SMTP, etc.
firewall, IDS, Web server log, etc), juga network attack mungkin generate log transaksi yang ● UDP
banyak di berbagai network devices, servers, dan juga software programs yang bakal - Connectionless
mengandung bukti bukti kasus - Gada error-checking atau verification delivery atau integrity dari si paket data
- Lebih cepat dari TCP
IP Addressing Ex. DNS, DHCP, TFTP, SNMP, VOIP
-> Set numerik dari angka” yang dipakai untuk identifikasi sebuah perangkat yang terkoneksi ke Ps. Paket data = Paket content + Paket Hidden (Flag + Sequence number)
jaringan (internet)
● IPv4 TCP Packet Flags
Ex. 72.51.39.55 ● SYN (Synthesize) -> initiates connection
2^32 available addresses = 4.294.967.296 ● ACK (Acknowledge) -> acknowledge data yang diterima
● IPv6 (Jaga jaga kalau ipv4 habis) ● FIN (Finish) -> close connection
Ex. 2001:0D8B:AC10:FE01 ● RST (Reset) -> abort connection sebagai response error
2^128 available addresses ● PSH (Push) -> transfer data
● URG (Urgent) -> set priority status
Beberapa IP itu ada yg untuk Private network, di mana mereka ga ngelead ke manapun di
internet. IP Private penting untuk dikenali ketika lagi bekerja dengan log data supaya tau lagi THREE-WAY HANDSHAKE
dealing dengan traffic internal atau external. Ada juga loopback IP Address yang bakal selalu point -> TCP Communication initiation. Kenapa? Untuk ensure kedua systems itu open and ready to
back kepada sistemnya sendiri si user (127.0.0.1 atau localhost) communicate
● X ngirim SYN ke Y utk ngecek Y nyala apa ga
● Y memgirim X ACK sebagai respon SYN dan mengirimkan SYN kepada X untuk ngecek X
apakah masih nyala
● X ngirim ACK kepada Y sebagai repspon
Static vs Dynamic IP Address

● Static IP address itu kalau udah diset, tidak berubah ubah
(+) Gampang routing
(-) Reduces security karena kalau ada attack, lgs bisa dilocate soalnya static Network Ports
● Dynamic IP address itu DHCP (Dynamic Host Control Protocol) di mana IP Address yang -> Port itu adalah sebuah logical connection end-point untuk ngeprogram specific data yang akan
diset DHCP mode itu bakal allow sebuah server central untuk assign IP Address dikirim ke network. Program berbeda pakai port berbeda. Jumlah port ada 65.536 ports
dynamically automatically, jadi bisa frequently berubah” ● 1024 ports pertama itu direserved untuk services dan programs umum
(+) Adds a minimal layer of security ● >1024 bisa diconsidered suspicious dan ada high possibility malware
29 30
Ex. Supported
20 - FTP 68 - DHCP Client 3389 - RDP 407 - Proxy Auth Required 423 - Locked 506 - Variant Also Negotiates
21 - FTP Control 69 - TFTP 5800 - VNC HTTP
408 - Request Timeout 424 - Failed Depedency 507 - Insufficient Storage
22 - SSH 80 - HTTP 5900 - VNC
23 - Telnet 110 - POP3 6666 - IRC 409 - Conflict 425 - Too Early 508 - Loop Detected
25 - SMTP 443 - HTTPS 6667 - IRC
53 - DNS 2773 - SubSeven 31337 - BackOrifice 410 - Gone 426 - Upgrade Required 510 - Not Extended
67 - DHCP Server 3127 - MyDoom 411 - Length Required 428 - Precondition Required 511 - Network Auth Required
Possibile Malware Port: 2773, 3127, 31337
412 - Precondition Failed 429 - Too Many Requests
HTTP Protocol (Hypertext Transfer Protocol)
413 - Payload Too Large 431 - Req Header Fields Too
-> Biasanya digunakan webservers untuk komunikasi (daily internet surfing) Large
● GET - requests specified resources/ data
● HEAD - identical to GET, except server tidak harus respond dengan message body
Domain Name System (DNS)
● POST - submits data untuk diproses
-> Computer kan komunikasi via numeric IP Address, tpi bagi manusia, pasti sulit. Jadi DNS ini
● DELTE - requests server delete specified resources/ data
solved itu by replacing IP Addresses with alphabetic domains.
Ex. 8.8.8.8 - www.google.com
List of HTTP Status code
-> DNS Server itu bertanggung jawab untuk matching domains ke IP Addressesnya masing”. DNS
100 - Continue 204 - No Content 302 - Found Server bisa query server name untuk cari matching IP Addressnya atau DNS Server itu bisa
cache IP Addressnya domain di local system mereka.
101 - Switching Protocols 205 - Reset Content 303 - See other
102 - Processing 206 - Partial Content 304 - Not Modified DNS Cache Poisioning
-> kondisi dimana seorang hacker nyerang server DNS sehingga setiap request DNS diredirect ke
103 - Early Hints 207 - Multi Status 305 - Use Proxy
tempat lain (IP yang benar diganti menjadi malicious IP Address)
200 - OK 208 - Already Reported 306 - Unused
Network Sniffers
201 - Created 226 - IM Used 307 - Temporary Redirect -> software yang captures semua data yang ditransfer lewat jaringan, ada:
202 - Accepted 300 - Multiple Choices 308 - Permanent Redirect ● Time/ Date
● Source IP Address
203 - Non-Authoritative 301 - Moved Permanently ● Destination IP Address
Info ● Network Protocol
● Packet content (Username, Password, Files, html)
-> bisa memudahkan untuk solve network attack tapi perlu dinotes bahwa ini sangat besar
400 - Bad Request 414 - URI Too Long 451 - Unavai for Legal
Reasons Network Scanners
-> Dipakai oleh hackers + security professionals untuk identify vulnerabilities
401 - Unauthorized 415 - Unsupported Media 500 - Internal Server Error -> Ngirim packets ke ports berbeda dan coba untuk identifikasi ports yang terbuka
Type -> Kebanyakan bisa scan large blocks IP Address terus-menerus. Attacker bisa execute scanning
402 - Payment Required 416 - Range Not Satisfiable 501 - Not Implemented dan tunggu ada vulnerability apa yang teridentifikasi
Ex. Wireshark
403 - Forbidden 417 - Expectation Filed 502 - Bad Gateway
404 - Not Found 418 - I’m a teapot 503 - Service Unavailable
405 - Method not Allowed 421 - Misdirected Request 504 - Gateway Timeout
406 - Not Acceptable 422 - Unprocessable Content 505 - HTTP Ver Not
31 32
7 OSI Layer TCP/IP Model Wireshark Layer
7 - Application Layer 4 - Application Layer 5 - Application Layer
6 - Presentation Layer
5 - Session Layer
4 - Transport Layer 3 - Transport Layer 4 - Transport Layer
3 - Network Layer 2 - Internet Layer 3 - Network Layer
2 - DataLink Layer 1 - Network Access Layer 2 - DataLink Layer
1 - Physical Layer 1 - Physical Layer
33 34
Wireshark
● Physical = Transmit/ Receive raw binary bits dari physical medium (ex. Ethernet cable)
● DataLink = Transmit/ Receive data frame dari 2 connected nodes, ada 2 components (MAC
+ LLC)
● Network = Transmit/ Receive packet dari 1 network ke network lain (IP)
● Transport = Transmit/ Receive data dari 1 device ke yang lain pakai port number (TCP
UDP)
● Application = Layer yang dekat ke user (HTTP, FTP, SNMP, Telnet, DNS)
35 36
37 38
Handling a large number of network:
Go to UDP -> CLick on packets
39 40
^Filter: icmp
ARP Spoofing Detect Port Scanning in Wireshark

-> ARP Poisoning as an attacker, jadi victim update ARP entry menggunakan MAC Address -> Kita bisa lihat apakah ada contentious multiple SYN atau RST packet di capture menggunakan:
attacker Wireshark Filter: tcp.flags.syn == 1 atau tcp.flags.reset == 1 atau:
-> Networking attack yang memungkinkan attacker untuk mengalihkan komunikasi dari network
host -> MITM (Man in the middle)
41 42
VOLATILITY CHEATSHEET 101

Karena ada 2 jenis volatility, maka perhatikan cara penulisan yang ku tulis dibawah, jika depannya
ada “[V2]” berarti volatility2, namun jika ada “[P3]” berarti Volatility3, secara optionnya beda jauh,
jadi tolong diperhatikan baik2. Habis gw kasih commandnya di bawahnya ada penjelasan singkat
OS INFORMATION
[V2] vol.py -f /path/to/file imageinfo
[V2] vol.py -f /path/to/file kdbgscan
[P3] vol.py -f /path/to/file windows.info
Kalo disini, V2 itu bisa kasih info yang lebih banyak terutama di kdbgscan kalo g ada profile yang
ditemuin, namun P3 bagusnya adalah dia lebih cepet sama bisa kasih minor/major OS Versions
dan 32/64 determination (bit)
Contoh ngab (imageinfo, yg vol3 mirip2)
PROCESS INFORMATION
[V2] vol.py -f /path/to/file --profile <profile> pslist [P3] vol.py -f /path/to/file windows.pslist
[V2] vol.py -f /path/to/file --profile <profile> psscan [P3] vol.py -f /path/to/file windows.psscan
[V2] vol.py -f /path/to/file --profile <profile> pstree [P3] vol.py -f /path/to/file windows.pstree
[V2] vol.py -f /path/to/file --profile <profile> psxview

Contohnya nih ngab
Pslist -> LIST RUNNING PROCESS SAAT MEMORY DUMP DIBUAT
Pstree -> DISPLAY PARENT-CHILD RELATIONSHIP ANTAR RUNNING PROCESS
43 44
Psscan -> DISPLAY PROCESS YANG MUNGKIN SUDAH TERMINATE/INACTIVE, GUNA MEMDUMP
BANGET BUAT DISCOVER ROOTKIT MALWARE TYPE [V2] vol.py -f /path/to/file --profile <profile> memmap -p <PID> (STEP 1)
[V2] vol.py -f /path/to/file --profile <profile> memdump -p <PID> --dump-dir=”/path/to/dir” (STEP 2)
[P3] vol.py -f /path/to/file -o /path/to/dir windows.memmap –dump –pid <PID> (INSTAN)
Kalau di V2 alangkahbaiknya di liat dulu di PID itu ada memroy apa aja yg bisa diakses, baru di
dump, jadi butuh 2 step, kalo di P3 mah tabrak langsung kata gw, Contohnya ngab
Memmap
Psxview-> Ngelist semua process apakah ke detect atau ga, KALO PSLIST & PSSCANNYA
FALSE, BERARTI ITU HIDDEN PROCESS, ALIAS DIA BERUSAHA SEMBUNYI (90%
MALWER)
Memdump
PROCESS DUMP DLLS

[V2] vol.py -f /path/to/file --profile <profile> procdump -p <pid> --dump-dir=”/path/to/dir” [V2] vol.py -f /path/to/file --profile <profile> dlllist -p <PID>
[P3] vol.py -f /path/to/file -o /path/to/dir windows.dumpfiles --pid <PID> [P3] vol.py -f /path/to/file windows.dlllist --pid <PID>
Perbandingannya sih gini
Bedanya simple, kalo di V2 dia cuma keluarin yang dispecify (ato semua kalo g specify), kalo di V2 -> PID, command line, base, size, loadcount, loadtime, path
P3 dia bakal dump exe nya dan DLL yang bersangkutan/dibutuhin sama exe-nya. INGET YG DI P3 -> PID, process, base, size, name, path, loadtime, file output
DUMP PROCESSNYA Contoh
Contohnya (VOLATILITY3) Dlllist
45 46
NETWORK INFORMATION - NETSCAN

Default
[V2] vol.py -f /path/to/file --profile <profile> netscan [P3] vol.py -f /path/to/file windows.netscan
[V2] vol.py -f /path/to/file --profile <profile> netstat [P3] vol.py -f /path/to/file windows.netstat
Khusus buat XP/2003 Spesific, di volatility 3 ga ada
[V2] vol.py -f /path/to/file --profile <profile> connscan
[V2] vol.py -f /path/to/file --profile <profile> connections
[V2] vol.py -f /path/to/file --profile <profile> sockscan
[V2] vol.py -f /path/to/file --profile <profile> sockets
DLLDUMP CONTOHNYA
[V2] vol.py -f /path/to/file --profile <profile> dlldump -D /path/to/dir Netscan-> BUAT SCANNING TCP ENDPOINT, LISTENER, UDP ENDPOINT DAN LISTENER,
SUDAH BISA BEDAIN IPv4 IPv6
CMDLINE Connections -> Buat list connection yang “aktif” saat memory di dump (tcp)
[V2] vol.py -f /path/to/file --profile <profile> cmdline
[V2] vol.py -f /path/to/file --profile <profile> cmdscan
[V2] vol.py -f /path/to/file --profile <profile> consoles
[P3] vol.py -f /path/to/file windows.cmdline
Bedanya kurleb kek gino:
V2 defaultnya kasih Process Name, PID, cmd
Cmdscan -> kasih aplikasi, flags, handler
Connscan-> Buat list connection dari connections yang sudah terminated & masih aktif
Consoles -> kasih C:\ listing, original tittle, screen position, command history
(kadang suka false-positive)
P3 defaultnya cuma kasih PID, Process name, argos
CONTOHNYA
Sockets-> Liat apakah ada sockets yang terbuka buat protokol apapun TCP,UDP,RAW,dll
47 48
Sockscan-> seperti connscan, dia bisa liat artifacts dari sockets yang sudah ada trus di MALFIND
terminate di dumpnya (ini less false-positive) [V2] vol.py -f /path/to/file --profile <profile> malfind
[P3] vol.py -f /path/to/file windows.malfind
Ini itu sebenernya guna buat nemuin injectable dll/code yang ada di user mode memory, biasanya
berdasarkan karakteristik contohnya VAD Tag dan page permissionnya
FILESCAN
[V2] vol.py -f /path/to/file --profile <profile> filescan
[P3] vol.py -f /path/to/file windows.filescan
Dengan option ini, kita memungkinkan untuk melihat file yang ada / aktif saat dump dibuat,
hebatnya lagi malwer ROOTKIT kalo nyembunyiin file, masih bisa di liat kalo kita pake option ini.
CONTOH
BONUS KEYWORD BERMANFAAT DAN BERFAEDAH
DLL Dynamic Link Library (DLL), adlaah sesuatu file non-executable yang
digunakan untuk menyimpan data-data yang diperlukan oleh apps
VAD Virtual Address Descriptor, mengartikan sebuah protection yang bisa

diberikan kepada sebuah file atau executable (MZ), in short, VAD ini
FILEDUMP kayak permission di file yang RWX tapi versi kernel level
[V2]vol.py -f “/path/to/file” ‑‑profile <profile> dumpfiles ‑‑dump-dir=“/path/to/dir”
Rootkit Jenis Malware yang didesain untuk memberikan akses kepada hacker
[V2]vol.py -f “/path/to/file” ‑‑profile <profile> dumpfiles ‑‑dump-dir=“/path/to/dir” -Q <offset> untuk take over (dengan cara apapun) device target
[V2]vol.py -f “/path/to/file” ‑‑profile <profile> dumpfiles ‑‑dump-dir=“/path/to/dir” -p <PID>
[P3]vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles Adware Sejenis malware yang bertipe spam, kalo diliat sebenernya ga bahaya
[P3]vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑virtaddr <offset> cuma karena dia ngespam trus, resource komputer kita kemakan ama dia.
[P3]vol.py -f “/path/to/file” -o “/path/to/dir” windows.dumpfiles ‑‑physaddr <offset>
Fileless Malware Species Malware paling OP karena paling sulit dideteksi, metanya skrg
File itu pada dasarnya cache nya kesimpen di memory buat meningkatkan performance dari OS, 40% malware itu fileless jadi dia itu manfaatin macro, powershell, WMI,
sehingga kita masih ada chances buat ngerecover (dump) files yang ada dan system tools lain buat nyerang.
WMI Windows Management Instumentation, infra windows untuk data

management dan operation center buat sistem windows
Spyware Malware yang suka ngestalk, didalem kategori ini ada rootkit, adware,
trojan, cookie traker
Worms Seperti namanya ulat, dia itu seringnya attack memory/hard drive, dan dia
nyebar via computer netwrok yang terkoneksi 1 dengan yang lain
49 50
● Volatility Commands:
Memory Forensic Command Function
● Brief History Memory Analysis
○ 1990an muncul ide capture memory, tapi cuman bisa string search dan susah di ngertiin. profile display profile (default: Windows XP), butuh specific flag klo
○ 2005 DFRWS bikin “Memory Analysis Challenge” bkn default
■ Memparser dibuat oleh Chris Betz
imageinfo display key properties dari memory imagenya
■ Tool pertama yang bisa identifikasi memory structure untuk analysis forensik
■ Process lists, DLLs, PIDs
imagecopy convert crashdump, hibernation file, or live firewire session to
○ 2007 Aaron Walters dan Nick Petroni release Volatility
a raw memory dump capable of analysis
■ Tool open source yang bisa analyze dan beri pengertian terhadap memory structure
Windows (XP). userassist lists contents of the NTUSER.DAT UserAssist registry key,
○ 2011 Volatility 2.0 di release showing programs executed by specific users
■ Lebih banyak capabilities, tambahan plugin dan bisa digunakan untuk platform
lainnya. hashdump Extract domain password hashes from SYSTEM and SAM
registry key
● Kenapa Memory Analysis Meledak?
○ 2003 - 2006 Rootkit lebih terkenal dan kuat connections prints list of open TCP connections
■Malware lebih kuat dan bagus karena codenya bisa ngumpet di Windows API dan
susah di trace kalau pakai forensic dead drive analysis connscan scans for TCP connection objects (previously closed)
■ Beberapa malware cuman ada di memory jadi kalo pc shutdown semua trace hilang.
dllllist prints list of loaded DLLs for each process; great for
○ Memory Analysis bantu forensic analysis karena bisa liat kernel level processes, jadi
malware udah gak bisa ngumpet identifying dll injection attacks
dlldump Extract dll files from a process’s memory space

● Memory Formats yang bisa di analyze
○ RAM dump handles shows all files, threads, mutexes accessed by a process
○ VMware VMEM file Notes:
○ Bisa cuman harus di convert jadi raw image -p itu buat specify a process
■ Hibernation file -t itu buat specify return data
■ BSOD - Crash dump file
■ Conversion tools seperti volatility and moonsols printkey display content fari registry key yg running di memory
Notes:
● Recoverable Data -K buat specify Registry Key
○ Active Device Driver; Rootkits
○ Past & current network connection (IP & ports) procexedump extract/dumps a process’s disk-mode to an executable file
○ Current & closed processes on the system
○ Username & Password (including wireless) procmemdump extract/dumps a process’s memory mode to an executable
○ Loaded DLLs (Possible injected malware) file (including slack space)
○ Contents of the Windows keyboard buffer pslist prints running process list
○ Registry keys open for a process
○ Keys for encrypted hard drives or files psscan scans for process objects (previously closed)
○ IM (Instant Messaging) chat session and participants
cmdscan prints commands previously used in Windows command shell
○ Open files for a process
○ Unpacked version of a file sockets prints list of open sockets on any protocol (TCP, UDP, RAW,
etc)
● Tool - Volatility: open source tool buat menguraikan artifacts dari sebuah memory image.
○ Ada 2 tipe: Volatility-2.3.1standalone.exe - no dependencies required & sockscan scans for previously closed socket objects on any protocol
Volatility-2.3.1win32.exe - harus install pake python code netscan scans for network connections on Windows 7, Vista & Server
51 52
2008
Zeus: Identifying Processes
malfind finds hidden and injected code in user mode memory - Dengan command pslist, terlihat bahwa PID 856 itu punyanya “svchost.exe” dengan alamat
Notes: memory “0x80ff88d8”
-p buat specify process - Parent processnya itu “services.exe”, yang mungkin legitimate karena dia yg start semua windows
-D buat dump injected code to hard drive service yang lainnya
yarascan searches for malware characteristics defined by Yara rules

Notes:
-p buat specify process
--yara-file=<pathtofile> buat specify Yara rules file
● Case Study: Zeus

Zeus: Identifying the profile
- Penggunaan imageinfo
- Penggunaan handles buat liat details

- Svchost showed “winlogon.exe” dan winlogon registry key as open handles, jadi ada kemungkinan
ini lokasi autostartnya
Zeus: Identifiying Network Activity

- Dari connscan, kita bisa lihat victimnya connected to 193.104.41.75 di port 80 PID 856
- Penggunaan printkey
- Winlogon key nunjukkin di userinit valuenya ada “sdra64.exe” (known as Zeus executable)
Cari orangnya pke tools kyk ZeusTracker, Network Whois, atau Maxmind Geolocation
53 54
Zeus: Capability and Classification with Yara

- Menggunakan yarascan untuk cari tahu known malware
- Terlihat si svchost ada di multiple locations
● Yara Introduction
Zeus: Identifying Injected Code ○ Yara dipake buat identify dan classify malware families
- Penggunaan malfind buat cari hidden or injected code in user mode memory base ○ Yara signature (Text strings (ASCII & Unicode), Hex strings, Regex, Wildcards) identify
- Nah ketemu 2 injected code locations di svchost:
karakteristik base code buat cari unknown processes untuk mengetahui malicious
- Satunya ada MZ (executable) header - sangat suspicious
property
- -D extracts si injected executablenya ke hard drive buat di analisa
● cmdscan & consoles

○ cmdscan buat nampilin history command yang masuk ke command shell, bisa aja ada specific
attacker commands
○ Consoles mirip cmdscan, tpi dia juga nampilin screen buffer, nampilin apa yg si attacker lihat
Antivirus Scan of Extracted Code
- Disini pake AVG antivirus, trs dibalikin Win32/Heri infected file - this is how AVG classified Zeus
55 56
11. Malware Dynamic Analysis FLAG DECIMAL VALUE
Urgent (urg) 32 -> buat indicate klo data yg ada

di dalem packet hrus di
prioritized sm dihandle segera
Static analsysis Dynamic analysis sama receiver
- Analysis pake code - Analysis pake behavior programnya(file Acknowledgement Number 16 -> buat indicate klo
- Mesti unpack atau deobfuscate codenya system, registrynya, network
(ack) message/transmission dh ke
(basically ubah program yg sulit dipahami connectionnya)
jadi lebih human readable) - Ga perlu unpack/deobfuscate code received
- Binariesnya bisa dipatch atau didebug
Push (PSH) 8 -> indicate klo incoming data
harus passed langsung ke app
Dynamic analysis tanpa kena buffer
Advantages Drawbacks
Reset (RST) 4 -> terminate connection TCP kalo
- Ga perlu programming expertise - Bbrp malware bisa ngedetect lu ada yg something wrong sm
- Lebih efektif buat analyzing malicious files ngejalaninnya di VM ato kg (VM aware) connectionnya ato
- Pas diexecute, analyst bisa monitor (butuh buat setup bare metal box) conversationnya ga sharusnya
malicious behaviornya in realtime - Malware bisa aware sm debugging ato ada ato servicenya ga acc
monitoring tools
requestnya
- Beberapa functionality kyk command
arguments tu juga bisa ada yg ke hide
Synchronization (SYN) 2 -> mau mulai membangun
- Mungkin tidak behave seperti yg diinginkan
connection
Finish(FIN) 1 -> request buat udahin

connectionnya, terjadi klo
TCP FLAGS IN WIRESHARK
misalkan dah gada data lgi yg
mo dikirim sm sender ato dia
minta buat connection
termination
OSI layer
● physichal layer → lewat eth0 ato wifi brp
● data link → tentang packet headernya
● network → ip addressnua a[a
● transport → protocolnya apa
● application → pake app apa
Address Resolution Protocol ARP spoofing adalah serangan yang mengirimkan paket ARP palsu atau
paket ARP yang sudah di modifikasi untuk meracuni ARP cache table korban.
arp spoofing itu apa? buat ganti isi ip table dalam router buat nganter packet tanpa broadcast buat
switching ke hub agar packetnya jadi terbroadcast dari bisa masuk ke komputer hackernya tapi semisal
nyampe ke komputer hacker pun belum tentu bisa dibaca karena adanya HTTPS.
Ternyata basically ngulang plajaran network data analysis
57 58
time points. Any time information indicating a date before this is falsified, either intentionally Or as a
12. Automating Analysis consequence of retaining original times during an archive extraction.
Graphical Investigation Environments During

Advantages : This describes a set of time data with a finite beginning and end—the duration of the event. The
- Integrated case management prime example of this sort of time information is the window of compromise during an intrusion.
- Built-in keyword searching Given an attacker’s entry, and the time of successful remediation, the time in between is the
- Greater continuity when examining between the various file system layers duration of compromise. This is often the largest time period of immediate relevance. Within this
Example : window, additional durations may be uncovered. For example, windows between logins and logouts
- Autopsy (open-source) of compromised accounts may provide additional windows of access to investigate further. This can
- Sleuth Kit help reduce the amount of time information of relevance the examiner needs to process.
PyFlag
Inferred Times
Python-based forensic and log analysis GUI created by Michael Cohen and David Collett.
Advantages : In many investigations, absolutely granular time points for data of interest may not be available or
- Support unified examination of disparate data types often encountered may be incorrect or misleading. If this is the case, inferred time may be the most accurate time
- Simple karena dia web-based and database application available to you. Generally this will apply to deleted data. Data that have been deleted will either
have no directly associated metadata structure or have a metadata structure that is tied only
loosely to actual data content. Under these circumstances, it may still be able to infer additional
Automating Artifact Extraction temporal information.
One of the constant challenges of forensic analysis is the amount of setup required before true
analysis can be performed. If you are simply looking to identify and extract a specific file type, you
still need to identify the partitions on image, identify the file systems, access their contents, locate Embedded Times
files in question, and so on. The majority of this preliminary work is not interesting and not directly
relevant to the purpose of the exam. The goal of automating artifact extraction is to reduce the File content may contain another source of time information as well: embedded inferred time. As an
amount of setup required before real work can begin. example, many PDF files will contain the name and version of the software used to generate them.
The release date of this version of the software used to generate the document is the earliest date
that the file could have existed. When examining office documents that may be of questionable
Timelines veracity, the existence of printer make and model can be used to create a timeframe in which the
One of the constant challenges of forensic analysis is the amount of setup required before true document must have been printed.
analysis can be performed. If you are simply looking to identify and extract a specific file type, you
still need to identify the partitions on image, identify the file systems, access their contents, locate
files in question, and so on. The majority of this preliminary work is not interesting and not directly Periodicity
relevant to the purpose of the exam. The goal of automating artifact extraction is to reduce the
amount of setup required before real work can begin. Another concept useful in the analysis of temporal information is periodicity. Periodicity refers to the
rate at which a given event or activity recurs. This is sometimes referred to as “frequency” but
frequency can also refer to how often something occurs (“four times a day”) as opposed to
Relative Times periodicity, which refers explicitly to the time that passes between repeated events. Periodicity is a
We can extend our understanding of timelines by thinking about four different types of relative useful signal when analyzing time data related to backdoor traffic. Most backdoor programs have a
times. We use relative times to discuss the relationship of one event or time point to another event highly fixed period for beacon traffic back to their controllers. Unfortunately, many Benign
or time point. There are three relative times to consider: before, after, and during. Any given time auto-update programs also share this same characteristic. It should not be surprising then that
information can be referenced in relation to another using these time descriptions. periodicity can be used to classify automated traffic versus human traffic.
Before and After

Before and after are incredibly simple concepts, but can be applied to forensic examinations in Autopsy
interesting ways. Any discrete point in a timeline can be described as having occurred before or Autopsy offers GUI access to a variety of investigative command-line tools from The Sleuth Kit,
after any other point or event. Of course the converse is also true—an event (event B) dependent on including file analysis, image and file hashing, deleted file recovery, and case management, among
another event (event B) occurring could not occur prior to that event. The canonical example of this other capabilities. Autopsy can be problematic when installing but, fortunately for us, comes built
is the creation of the file system being examined. This is the canonical “start point” for all file system into Kali Linux and is also very easy to set up and use.
59 60
Digital Forensic with Autopsy
Although the Autopsy browser is based on The Sleuth Kit, features of Autopsy differ when using the
Windows version compared to the Linux version. Some of the official features offered by The Sleuth
Kit and Autopsy 2.4 in Kali Linux including : • Image analysis: Analyze directories and files
including sorting files, recovering deleted files, and previewing files.
• File activity timelines: Create timelines based on the timestamps of files, when they were
written, accessed, and created.
• Image integrity: Create MD5 hashes of the image file used, as well as individual files
• Hash databases: Match the digital hashes or fingerprints of unknown files (such as suspected
malicious .exe files) against those in the NIST National Software Reference Library (NSRL).
• Events sequencer: Display events sorted by date and time
• File analysis: Analyze the entire image file to display directory and file information and
contents.
• Keyword search: Allows searching using keywords and predefined expression lists.
• Metadata analysis: Allows the viewing of metadata details and structures of files that are
essential for data recovery.
• Parsing data and indexing: Places a virtual mask over the actual evidence. This allows views
for investigators to run queries without altering the "source data" or evidence.
• Report generating: Allows the compilation of findings into a user-friendly report.
61

Ringkasan Forensic

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Ringkasan Forensic

Diunggah oleh

Hak Cipta:

Format Tersedia

Types & Role of Analysis

Terabyte 1.048.576 Megabytes

- Block Groups, EXT4 membagi penyimpanan ke dalam storage group.

○ Unknown : cannot perform SPF check

Null SID S-1-0-0 Dipake klo SID valuenya tdk diketahui

NT Authority S-1-5-19 Local Service

Domain Computers S-1-5-21domain-515 Semua comp. yg join domain

Protected Users S-1-5-domain-525 Protected users

All Services S-1-5-80-0 Include semua service processes di sistem

Recycle Bin Analysis

Recycle Bin Bypass

Link Files (Shortcut) Analysis

Isi dari Link Files :

Other Location Interest

DOCX, PPTX, XLSX 50 4B 03 04 14 00 06 00 PK......

Type Title Description Example

3 Network Network logon using net use or network share ssl

Application Event Log

%>s - Status code

"http://192.168.4.161/DVWA" - Link bisa external atau internal SQLI

● 84.55.41.57- - [14/Apr/2016:08:22:13 0100] "GET

● 127.0.0.1 - - [26/Mar/2015:21:29:15 +0100] "POST /wp-login.php HTTP/1.0" 404 571

The hacking process - Breaking the door:

Follow up hacking process:

Hacking Process - Evilest:

Hacking Process - Buat kunci access:

Data Exfiltration 4 stages of malware analysis

Botnets - IRC style (Zombie)

DOS and DDOS Attack

Static vs Dynamic IP Address

404 - Not Found 418 - I’m a teapot 503 - Service Unavailable

Handling a large number of network:

Go to UDP -> CLick on packets

ARP Spoofing Detect Port Scanning in Wireshark

VOLATILITY CHEATSHEET 101

[V2] vol.py -f /path/to/file --profile <profile> psxview

Pstree -> DISPLAY PARENT-CHILD RELATIONSHIP ANTAR RUNNING PROCESS

PROCESS DUMP DLLS

NETWORK INFORMATION - NETSCAN

BONUS KEYWORD BERMANFAAT DAN BERFAEDAH

VAD Virtual Address Descriptor, mengartikan sebuah protection yang bisa

WMI Windows Management Instumentation, infra windows untuk data

dlldump Extract dll files from a process’s memory space

yarascan searches for malware characteristics defined by Yara rules

● Case Study: Zeus

- Penggunaan handles buat liat details

Zeus: Identifiying Network Activity

Zeus: Capability and Classification with Yara

● cmdscan & consoles

Urgent (urg) 32 -> buat indicate klo data yg ada

Finish(FIN) 1 -> request buat udahin

Ternyata basically ngulang plajaran network data analysis

Graphical Investigation Environments During

Before and After

Anda mungkin juga menyukai