===JAWABAN===
1. saya melakukan Intalasi system operasi GNU/Linux secara fresh, disini saya
menggunakan Distro Xubuntu. Xubuntu merupakan sebuah distribusi Linux berbasis
Ubuntu yang ditujukan untuk pengguna yang menggunakan komputer dengan
kinerja rendah atau mereka yang mencari lingkungan desktop yang lebih efisien
pada komputer dengan kinerja tinggi.
Sekarang kita dapat melakukan tugas yang memerlukan akses root. Setelah
melakukan perubahan, simpan perubahan ini dan keluar dari editor teks dengan
menekan tombol keyboard CTRL+X untuk keluar, Y untuk menyimpan, dan Enter
untuk mengirim.
b) date dan date +%s: command date Menampilkan tanggal dan waktu sistem.
sementara command +%s menampilkan waktu dalam format Epoch Time
(Unix timestamp), yang merupakan jumlah detik sejak 1 Januari 1970.
uptime: Menampilkan berapa lama sistem telah berjalan sejak boot terakhir.
Ini bisa membantu menentukan apakah sistem telah di-restart sebagai bagian
dari upaya untuk menyembunyikan kegiatan atau menghilangkan bukti.
catatan : pada Xubuntu Netstat tidak terinstall secara default, sehingga perlu
dilakukan instalasi manual dengan command : sudo apt install net-tools
c. ifconfig: Digunakan untuk mengkonfigurasi, mengontrol, dan menquery
informasi konfigurasi antarmuka jaringan TCP/IP. Meskipun telah digantikan
oleh perintah ip di banyak distribusi Linux modern, ifconfig masih sering
digunakan dalam konteks kompatibilitas. Dalam forensik digital, perintah ini
bisa membantu dalam menentukan konfigurasi jaringan dari sistem yang
sedang dianalisis, termasuk alamat IP, netmask, dan status dari antarmuka
jaringan.
catatan : pada Xubuntu ifconfig tidak terinstall secara default, sehingga perlu
dilakukan instalasi manual dengan command : sudo apt install net-tools
Keterangan :
wlp3s0: antarmuka Wi-Fi. Nama "wlp" menandakan antarmuka Wi-Fi, dan "3"
mungkin menunjukkan urutan antarmuka dalam sistem.
Flg: Ini adalah beberapa bendera yang menunjukkan status atau fitur-fitur
tertentu dari antarmuka, seperti Broadcast (B), Multicast (M), Running (R),
dan Up (U).
Seorang hacker dapat melakukan berbagai serangan terhadap port TCP dan
UDP yang terbuka, termasuk TCP hijacking, SYN flood, dan UDP flood,
dengan tujuan mencuri data, mengganggu layanan, atau mengeksploitasi
kerentanan sistem.
Nmap (singkatan dari Network Mapper) adalah alat pemindai jaringan open
source yang digunakan untuk mengidentifikasi layanan yang berjalan di host
target, mengevaluasi kerentanan potensial, merekonstruksi serangan, dan
mengidentifikasi pola aktivitas yang mencurigakan, sehingga memfasilitasi
investigasi terhadap serangan tersebut.
a) nmap -sT localhost: Menggunakan nmap dengan opsi -sT melakukan TCP
connect scan ke localhost. Ini bermanfaat dalam forensik untuk
mengidentifikasi port yang terbuka dan layanan yang berjalan pada sistem
lokal. Mengetahui port dan layanan yang terbuka dapat membantu dalam
mengidentifikasi potensi kerentanan atau layanan tidak sah yang mungkin
telah diinstal oleh pelaku.
Keterangan : Dari hasil scanning menunjukan dari 1000 ports yang ada,
hanya satu yang terbuka yaitu 631/tcp
b) sudo nmap -sU localhost: Opsi -sU dengan nmap menjalankan UDP scan
ke localhost. UDP scan penting dalam forensik digital karena banyak aplikasi
dan layanan, termasuk DNS dan beberapa protokol routing, menggunakan
UDP.
Keterangan : Dari hasil scanning menunjukan dari 1000 ports yang ada,
hanya dua yang terbuka dan terfilter yaitu 631/udp (ipp) dan 5353/udp
(zeroconf). pemindaian menunjukkan bahwa sistem mungkin terhubung
dengan printer jaringan dan berpartisipasi dalam jaringan yang menggunakan
teknologi Zeroconf.
b) lsof -u <username>
Penggunaan opsi lsof -u <username> juga berguna dalam mengidentifikasi dan
memantau aktivitas spesifik dari pengguna tertentu, terutama dalam konteks
investigasi keamanan atau forensik. Informasi yang diperoleh dari perintah lsof
memberikan wawasan penting bagi analis forensik untuk memahami jejak aktivitas
sistem dan pengguna, serta untuk mengidentifikasi potensi masalah keamanan atau
kinerja pada sistem Linux.
b. cat /proc/swaps
Perintah cat /proc/swaps digunakan untuk menampilkan daftar swap (ruang
tukar) yang digunakan oleh sistem. Swap adalah area pada disk yang
digunakan oleh sistem operasi untuk menyimpan data ketika RAM fisik telah
habis.
sistem sedang menggunakan swap space dari file bernama /swapfile dengan
ukuran total 3.4 GB, di mana 2328 KB sudah digunakan, dan memiliki
prioritas swap -2
Perintah dmesg digunakan untuk menampilkan log pesan kernel yang terjadi
selama boot dan saat sistem berjalan. Log ini dapat berisi informasi penting tentang
pengoperasian sistem, seperti perangkat yang terdeteksi, peringatan, atau
kesalahan (errors) yang terjadi.
L. DUMP MEMORY MENGGUNAKAN LiME
LiME (Linux Memory Extractor) adalah sebuah alat forensik open-source yang
digunakan untuk mengambil gambar memori (memory image) dari sistem Linux yang
sedang berjalan. Tujuan dari LiME adalah untuk mendapatkan snapshot dari memori
sistem saat sistem masih aktif, sehingga memungkinkan analisis forensik terhadap
keadaan sistem pada waktu tertentu.
(a) Git diperlukan untuk mengunduh kode sumber LiME dari GitHub, karena LiME
adalah perangkat lunak open-source yang dikembangkan di sana.
(c) Buka terminal di Ubuntu dan jalankan perintah berikut untuk memastikan
paket-paket dependensi yang diperlukan terinstal:
penjelasan command :
insmod: Perintah untuk memasang (load) modul kernel baru ke dalam kernel
Linux yang sedang berjalan. Dalam hal ini, modul kernel yang dimuat adalah
lime-6.5.0-26-generic.ko.
Hasil pemulihan dari PhotoRec akan muncul dalam berbagai folder. Setiap folder
akan berisi file yang berhasil dipulihkan. kita dapat memeriksa setiap folder untuk
menemukan file yang di cari.
3. COLLECT DAN ANALISA NON VOLATILE
A. HASIL ANALISA LINUX EVIDENCE
Informasi non-volatile adalah informasi yang tidak berubah ketika komputer
dimatikan dan dapat memberikan petunjuk yang berharga tentang kejadian yang
terjadi pada sistem tersebut. Untuk keperluan forensic digital pada sistem non-
volatile, berikut adalah langkah-langkah yang bisa digunakan
a) cat /proc/cpuinfo:
Command ini digunakan untuk melihat informasi detail tentang CPU yang
terpasang pada sistem, termasuk vendor, model, jumlah core, cache, dan
fitur-fitur lainnya yang terkait dengan CPU.
b) cat /proc/self/mounts:
Command ini menampilkan informasi tentang filesystem yang saat ini
dipasang (mounted) pada sistem, termasuk jenis filesystem dan opsi
mounting yang digunakan.
c) uname -r:
Command ini digunakan untuk menampilkan versi kernel yang sedang
berjalan pada sistem, yaitu versi 6.5.0-26-generic
d) cat /proc/version:
Command ini menampilkan informasi lengkap tentang versi kernel Linux yang
digunakan pada sistem, termasuk versi compiler dan tanggal build kernel
tersebut. Versi kernel Linux yang digunakan pada sistem Xubuntu adalah
6.5.0-26-generic, yang dikompilasi dengan GCC versi 12.3.0 dan GNU ld
versi 2.38.
f) cat /etc/passwd:
Command ini digunakan untuk menampilkan informasi mengenai akun
pengguna (user accounts) yang ada pada sistem, termasuk username, user
ID, direktori home, dan shell default yang digunakan.
g) sudo cat /var/log/auth.log:
Command ini mencoba untuk menampilkan log autentikasi sistem (auth.log)
dengan hak akses tinggi (elevated privileges) menggunakan sudo untuk
menghindari batasan permissions yang mungkin ada.
ini adalah analisis aktivitas yang dilakukan oleh pengguna anggri dengan hak akses
sudo (sebagai root) pada sistem Xubuntu:
09:52:21: Pengguna anggri menggunakan sudo untuk menjalankan perintah zip dengan hak akses root.
Perintah yang dijalankan: /usr/bin/zip /volatility/plugins/linux/xubuntu.zip tools/linux/module.dwarf
/boot/System.map-6.5.0-26-generic.
09:56:43: Pengguna anggri lagi menggunakan sudo untuk menjalankan perintah zip dengan hak akses
root.Perintah yang dijalankan: /usr/bin/zip /home/anggri/Documents/xubuntu.zip
/home/anggri/volatility/tools/linux/module.dwarf /boot/System.map-6.5.0-26-generic.
10:05:54: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt update dengan hak
akses root.
10:06:22: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install python dengan
hak akses root.
10:07:24: Pengguna anggri menggunakan sudo lagi untuk menjalankan perintah apt update dengan
hak akses root.
10:07:31: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install python-minimal
dengan hak akses root.
10:08:09: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt update dengan hak
akses root.
10:08:24: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install python2-minimal
dengan hak akses root.
11:44:46: Pengguna anggri menggunakan sudo untuk menjalankan perintah install wine dengan hak
akses root.
11:45:39: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install wine dengan
hak akses root.
12:49:22: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install testdisk dengan
hak akses root.
h) cat /var/log/syslog
Perintah cat /var/log/syslog digunakan untuk menampilkan isi dari file syslog
yang terletak di direktori /var/log. File syslog berisi catatan (log) sistem yang
mencakup berbagai kejadian dan pesan dari berbagai komponen sistem
seperti kernel, layanan, dan aplikasi yang berjalan.
log sistem yang mencatat aktivitas yang terjadi pada sistem operasi Xubuntu
pada tanggal 7 April. Berikut adalah beberapa peristiwa yang dicatat dalam
log:
Temuan ini memberikan petunjuk penting terkait identitas individu yang terlibat
dalam konten tersebut, yang bisa menjadi kunci untuk memahami asal-usul dan
konteks foto tersebut. Analisis lebih lanjut atas meta data ini dapat memberikan
tambahan informasi dalam proses pengungkapan kasus.
Kemudian terdapat 975 keyword hits terkait dengan alamat email. Pada opsi email
addresses beberapa alamat email muncul dengan frekuensi tertentu Berikut adalah
analisis email yang terurut berdasarkan jumlah :
Analisis forensik pada sistem operasi GNU/Linux (Xubuntu) dan Mac dilakukan
dengan tujuan memahami informasi volatile dan non-volatile terkait keadaan
komputer, aktivitas pengguna, dan jejak digital yang ada. Berikut adalah temuan dan
analisis yang penting:
Kesimpulan
Analisis forensik Linux dan Mac menggunakan berbagai perintah terminal telah
memberikan wawasan mendalam tentang keadaan komputer dan aktivitas
pengguna. Temuan tersebut dapat digunakan untuk mengidentifikasi potensi
ancaman keamanan, aktivitas mencurigakan, atau jejak digital yang relevan untuk
investigasi lebih lanjut.