TUGAS INDIVIDU

MODUL 07 Linux and Mac Forensics

NAMA : ANGGRI LUKMAN DJATTA

NO ABSEN : 11

1. Lakukan Intalasi system operasi GNU/Linux dg distro bebas (preferensi Ubuntu)

secara fresh, Tambahkan beberapa variasi aplikasi (document processor, browser,
media player dll). Pergunakan GNU/Linux tersebut utk aktifitas keseharian (buat
dokumen, browsing, email, uninstall bbrp aplikasi, dll) semakin banyak jenis aktifitas
yg dilakukan semakin bagus.
2. Lakukan collect dan analisis terhadap volatile information terkait Computer State
( process, openfiles, network, system time, dll) dan memory.
3. Lakukan collect dan analisis terhadap non volatile information (filesystem) baik
GNU/Linux
4. Buatlah Executive Summary, terhadap hasil temuan dan analisis yang anda
lakukan.

===JAWABAN===

1. saya melakukan Intalasi system operasi GNU/Linux secara fresh, disini saya
menggunakan Distro Xubuntu. Xubuntu merupakan sebuah distribusi Linux berbasis
Ubuntu yang ditujukan untuk pengguna yang menggunakan komputer dengan
kinerja rendah atau mereka yang mencari lingkungan desktop yang lebih efisien
pada komputer dengan kinerja tinggi.

A. instalasi Xubuntu di VirtualBox

a) Buka VirtualBox.
b) Klik tombol “New” untuk membuat mesin virtual baru.
c) Berikan nama (misalnya “Xubuntu”) dan pilih tipe Linux. Pilih versi Ubuntu
(64-bit).
d) Atur jumlah RAM sesuai kebutuhan (jangan melebihi 50% dari total RAM
komputer Anda).
e) Serta atur jumlah Core processor

f) Pilih opsi “Create a virtual hard disk now”.

g) Pilih tipe hard disk virtual, misalnya “VHD (Virtual Hard Disk)”.
h) Tentukan ukuran hard disk virtual untuk Xubuntu (rekomendasi: 10 GB).

i) Ikuti langkah-langkah instalasi seperti memilih tata letak keyboard, jenis

instalasi, dan lokasi saat diminta.
j) Setelah instalasi selesai, Anda akan memiliki Xubuntu yang berjalan di
VirtualBox.
B. Menggunakan GNU/Linux utk aktifitas keseharian
kemudian Xubuntu tersebut digunakan untuk berbagai macam aktifitas diantaranya
menggunakan Libre Office untuk mengerjakan tugas, browsing, instalasi dan
uninstall aplikasi menggunakan terminal dll
catatan :
beberapa permasalahan dalam menggunakan Xubuntu, saat akan melakukan
command super admin yaitu sudo muncul peringatan
‘Username Is Not in the Sudoers File. This Incident Will Be Reported’
Pesan kesalahan ini muncul ketika kita mencoba mengakses atau memperbarui
sesuatu dengan hak istimewa super dari pengguna biasa, bukan dari pengguna root.
Untuk memperbaikinya, kita perlu melakukan perubahan pada berkas sudoers di
mana pengguna root diberikan hak istimewa. Berikut adalah solusi yang dapat
diterapkan untuk mengatasi masalah ini:

Menambahkan Nama Pengguna ke Berkas Sudoers:

a) Pertama, kita perlu beralih ke pengguna root, karena pengguna francis tidak
dapat melakukan tugas administratif: su root
b) Setelah beralih ke pengguna root, kita akan mengedit berkas sudoers
menggunakan editor teks nano: nano /etc/sudoers
 c) Tambahkan baris di bawah user privilege specification. Tujuannya adalah
memberikan hak istimewa superuser kepada pengguna sistem:
root\ALL=(ALL:ALL) ALL
anggri ALL=(ALL:ALL) ALL

Sekarang kita dapat melakukan tugas yang memerlukan akses root. Setelah
melakukan perubahan, simpan perubahan ini dan keluar dari editor teks dengan
menekan tombol keyboard CTRL+X untuk keluar, Y untuk menyimpan, dan Enter
untuk mengirim.

2. collect dan analisis terhadap volatile information terkait Computer State

A. Collecting Hostname, Date and Time

a) hostname: Menampilkan atau mengatur nama host sistem. Dalam forensik

digital, ini bisa membantu mengidentifikasi sistem yang sedang dianalisis,
terutama jika Anda bekerja dengan gambar dari berbagai sistem.

b) date dan date +%s: command date Menampilkan tanggal dan waktu sistem.
sementara command +%s menampilkan waktu dalam format Epoch Time
(Unix timestamp), yang merupakan jumlah detik sejak 1 Januari 1970.

epoch time dapat di konversi di https://www.epochconverter.com/

 c) cat /etc/timezone: Menampilkan zona waktu sistem. Dalam investigasi,
mengetahui zona waktu sistem sangat penting untuk mengorelasikan log dan
kegiatan lain dengan waktu nyata, terutama saat bekerja dengan data dari
sistem yang berbeda zona waktunya.

B. Collecting Uptime Data

uptime: Menampilkan berapa lama sistem telah berjalan sejak boot terakhir.
Ini bisa membantu menentukan apakah sistem telah di-restart sebagai bagian
dari upaya untuk menyembunyikan kegiatan atau menghilangkan bukti.

C. Collecting Network Information

a. ip addr show: Menampilkan informasi konfigurasi jaringan, termasuk

alamatIP. Dalam forensik digital, mengumpulkan informasi jaringan penting
untuk memahami bagaimana sebuah sistem berkomunikasi dengan sistem
lain atau internet, yang dapat membantu dalam melacak aktivitas jaringan
yang mencurigakan atau menentukan sumber dari serangan.

b. netstat: Merupakan perintah yang digunakan untuk menampilkan tabel

routing, statistik interface, masquerade connections, dan daftar koneksi
masuk dan keluar. Dalam forensik digital, netstat dapat digunakan untuk
mengidentifikasi koneksi yang aktif atau mendengarkan pada sistem yang
sedang dianalisis. Ini membantu dalam mengidentifikasi layanan yang
berjalan dan potensi backdoors atau koneksi yang tidak sah.

catatan : pada Xubuntu Netstat tidak terinstall secara default, sehingga perlu
dilakukan instalasi manual dengan command : sudo apt install net-tools
c. ifconfig: Digunakan untuk mengkonfigurasi, mengontrol, dan menquery
informasi konfigurasi antarmuka jaringan TCP/IP. Meskipun telah digantikan
oleh perintah ip di banyak distribusi Linux modern, ifconfig masih sering
digunakan dalam konteks kompatibilitas. Dalam forensik digital, perintah ini
bisa membantu dalam menentukan konfigurasi jaringan dari sistem yang
sedang dianalisis, termasuk alamat IP, netmask, dan status dari antarmuka
jaringan.

catatan : pada Xubuntu ifconfig tidak terinstall secara default, sehingga perlu
dilakukan instalasi manual dengan command : sudo apt install net-tools

d. netstat -i : menampilkan informasi tentang antarmuka jaringan pada

sistem. Antarmuka jaringan adalah jalur fisik atau virtual yang digunakan oleh
sistem untuk berkomunikasi dengan jaringan luar.

Keterangan :

lo: antarmuka loopback yang digunakan oleh sistem untuk berkomunikasi

dengan dirinya sendiri. Ini adalah antarmuka virtual untuk komunikasi lokal
dalam sistem.

wlp3s0: antarmuka Wi-Fi. Nama "wlp" menandakan antarmuka Wi-Fi, dan "3"
mungkin menunjukkan urutan antarmuka dalam sistem.

enp2s0: antarmuka kabel Ethernet. Nama "enp" menandakan antarmuka

Ethernet, dan "2" mungkin menunjukkan urutan antarmuka dalam sistem.
 Iface: Ini adalah nama antarmuka jaringan.

MTU (Maximum Transmission Unit): Ukuran maksimum paket data yang

dapat dikirimkan melalui antarmuka tersebut tanpa perlu dibagi menjadi
paket-paket yang lebih kecil.

RX-OK, RX-ERR, RX-DRP, RX-OVR: Received statistik penerimaan (RX)

yang mencakup paket yang diterima dengan benar (OK), paket yang gagal
diterima (ERR), paket yang dijatuhkan (DRP), dan paket yang terlalu banyak
(OVR).

TX-OK, TX-ERR, TX-DRP, TX-OVR: Transfer statistik pengiriman (TX) yang

mencakup paket yang dikirim dengan benar (OK), paket yang gagal dikirim
(ERR), paket yang dijatuhkan saat pengiriman (DRP), dan paket yang terlalu
banyak saat pengiriman (OVR).

Flg: Ini adalah beberapa bendera yang menunjukkan status atau fitur-fitur
tertentu dari antarmuka, seperti Broadcast (B), Multicast (M), Running (R),
dan Up (U).

D. VIEWING NETWORK ROUTING TABLE

melihat tabel rute jaringan melalui perintah netstat dapat memberikan

informasi berharga bagi seorang investigator forensik dalam menganalisis
serangan jaringan, mendeteksi aktivitas yang mencurigakan, dan memahami
topologi jaringan yang terlibat dalam sebuah insiden keamanan.

a) netstat -rn : menampilkan tabel rute jaringan pada sistem. Dalam

investigasi, membantu untuk memahami bagaimana lalu lintas jaringan
diatur dalam sistem.

b) ip r : sama seperti netstat -rn, ip r juga menampilkan tabel rute jaringan,

tetapi menggunakan perintah ip.

E. MENGUMPULKAN INFORMASI PORT TERBUKA

Seorang hacker dapat melakukan berbagai serangan terhadap port TCP dan
UDP yang terbuka, termasuk TCP hijacking, SYN flood, dan UDP flood,
dengan tujuan mencuri data, mengganggu layanan, atau mengeksploitasi
kerentanan sistem.

Nmap (singkatan dari Network Mapper) adalah alat pemindai jaringan open
source yang digunakan untuk mengidentifikasi layanan yang berjalan di host
target, mengevaluasi kerentanan potensial, merekonstruksi serangan, dan
 mengidentifikasi pola aktivitas yang mencurigakan, sehingga memfasilitasi
investigasi terhadap serangan tersebut.

catatan : Nmap tidak disertakan secara default di semua distribusi Linux,

sehingga perlu dilakukan instalasi manual dengan command : sudo apt install
nmap

a) nmap -sT localhost: Menggunakan nmap dengan opsi -sT melakukan TCP
connect scan ke localhost. Ini bermanfaat dalam forensik untuk
mengidentifikasi port yang terbuka dan layanan yang berjalan pada sistem
lokal. Mengetahui port dan layanan yang terbuka dapat membantu dalam
mengidentifikasi potensi kerentanan atau layanan tidak sah yang mungkin
telah diinstal oleh pelaku.

Keterangan : Dari hasil scanning menunjukan dari 1000 ports yang ada,
hanya satu yang terbuka yaitu 631/tcp

b) sudo nmap -sU localhost: Opsi -sU dengan nmap menjalankan UDP scan
ke localhost. UDP scan penting dalam forensik digital karena banyak aplikasi
dan layanan, termasuk DNS dan beberapa protokol routing, menggunakan
UDP.
 Keterangan : Dari hasil scanning menunjukan dari 1000 ports yang ada,
hanya dua yang terbuka dan terfilter yaitu 631/udp (ipp) dan 5353/udp
(zeroconf). pemindaian menunjukkan bahwa sistem mungkin terhubung
dengan printer jaringan dan berpartisipasi dalam jaringan yang menggunakan
teknologi Zeroconf.

F. MENEMUKAN PROGRAM YANG TERHUBUNG DENGAN PORT

a. Perintah sudo netstat -tulpn
perintah yang digunakan untuk menampilkan informasi tentang koneksi
jaringan dan aktivitas port pada sistem Linux, termasuk proses yang sedang
mendengarkan (LISTEN) pada port tertentu.
-t: Opsi ini digunakan untuk menampilkan informasi tentang koneksi TCP
(Transmission Control Protocol).
-u: Opsi ini digunakan untuk menampilkan informasi tentang koneksi UDP
(User Datagram Protocol).
-l: Opsi ini digunakan untuk menampilkan daftar proses yang sedang
mendengarkan (LISTEN) pada port-port tertentu.
-p: Opsi ini digunakan untuk menampilkan ID proses (PID) dan nama
program yang terkait dengan setiap koneksi.
-n: Opsi ini digunakan untuk menampilkan alamat IP dan nomor port dalam
format numerik (angka), tanpa melakukan resolusi nama host atau layanan.

Dengan menggunakan perintah lsof, kita dapat melihat proses-proses yang

aktif dan mengidentifikasi koneksi jaringan yang dibuka oleh proses-proses
tersebut, termasuk proses-proses yang mendengarkan (LISTEN) pada port
tertentu. Informasi ini berguna untuk memantau aktivitas jaringan dan
mengetahui aplikasi atau layanan apa yang sedang berjalan dan
berkomunikasi melalui jaringan pada sistem Linux.

b. sudo lsof -i -n | grep LISTEN

Dengan menggunakan perintah lsof, kita dapat melihat proses-proses yang
aktif dan mengidentifikasi koneksi jaringan yang dibuka oleh proses-proses
tersebut, termasuk proses-proses yang mendengarkan (LISTEN) pada port
tertentu. Informasi ini berguna untuk memantau aktivitas jaringan dan
mengetahui aplikasi atau layanan apa yang sedang berjalan dan
berkomunikasi melalui jaringan pada sistem Linux.
G. MENGUMPULKAN DATA OPEN FILES
a) lsof
Dalam forensik Linux, mengumpulkan data menggunakan perintah lsof (list open
files) bertujuan untuk memahami aktivitas proses, mengidentifikasi koneksi jaringan
yang sedang digunakan, memantau penggunaan sumber daya sistem seperti file
dan perangkat, serta mendeteksi akses file yang tidak biasa atau mencurigakan oleh
proses tertentu.

b) lsof -u <username>
Penggunaan opsi lsof -u <username> juga berguna dalam mengidentifikasi dan
memantau aktivitas spesifik dari pengguna tertentu, terutama dalam konteks
investigasi keamanan atau forensik. Informasi yang diperoleh dari perintah lsof
memberikan wawasan penting bagi analis forensik untuk memahami jejak aktivitas
sistem dan pengguna, serta untuk mengidentifikasi potensi masalah keamanan atau
kinerja pada sistem Linux.

H. MENGUMPULKAN DATA MOUNTED FILE SYSTEM

a) MOUNT
Dalam forensik Linux, perintah mount digunakan untuk melihat daftar sistem
file yang terpasang (mounted) di sistem, membantu identifikasi jenis sistem
file, lokasi partisi, dan hubungan antara partisi, disk, serta direktori.
 b) DF
Sementara itu, perintah df (Disk Free) digunakan untuk menampilkan
informasi penggunaan ruang disk, termasuk kapasitas, ruang yang
digunakan, dan ruang tersedia pada setiap partisi. Dengan df, analis forensik
dapat memantau penggunaan ruang disk, mendeteksi anomali penggunaan
ruang yang mencurigakan, serta menganalisis pola penggunaan ruang disk
dari waktu ke waktu untuk memahami aktivitas sistem yang sedang diselidiki.

I. MENEMUKAN KERNEL MODULE YANG DI LOAD

a. Perintah lsmod digunakan untuk melihat daftar modul kernel yang sedang
dimuat di sistem. Ini membantu dalam memahami modul kernel mana yang
aktif saat ini dan hubungan antara modul-modul tersebut.

b. Perintah modinfo <kernel_module> digunakan untuk mendapatkan

informasi rinci tentang modul kernel tertentu yang dimuat di sistem. Dengan
perintah ini, Anda dapat melihat deskripsi, versi, dan parameter modul kernel
yang sedang digunakan.
J. MENGUMPULKAN INFORMASI PARTITION DAN SWAP AREA
a. cat /proc/partitions
Perintah cat /proc/partitions digunakan untuk menampilkan informasi tentang
partisi yang terdeteksi oleh kernel Linux. Output dari perintah ini memberikan
daftar partisi yang terpasang (mounted) dan juga partisi yang belum
terpasang (unmounted), termasuk informasi mengenai major number, minor
number, ukuran partisi dalam blok, dan nama partisi.

b. cat /proc/swaps
Perintah cat /proc/swaps digunakan untuk menampilkan daftar swap (ruang
tukar) yang digunakan oleh sistem. Swap adalah area pada disk yang
digunakan oleh sistem operasi untuk menyimpan data ketika RAM fisik telah
habis.

sistem sedang menggunakan swap space dari file bernama /swapfile dengan
ukuran total 3.4 GB, di mana 2328 KB sudah digunakan, dan memiliki
prioritas swap -2

K. MENGUMPULKAN KERNEL MESSAGES

Perintah dmesg digunakan untuk menampilkan log pesan kernel yang terjadi
selama boot dan saat sistem berjalan. Log ini dapat berisi informasi penting tentang
pengoperasian sistem, seperti perangkat yang terdeteksi, peringatan, atau
kesalahan (errors) yang terjadi.
L. DUMP MEMORY MENGGUNAKAN LiME
LiME (Linux Memory Extractor) adalah sebuah alat forensik open-source yang
digunakan untuk mengambil gambar memori (memory image) dari sistem Linux yang
sedang berjalan. Tujuan dari LiME adalah untuk mendapatkan snapshot dari memori
sistem saat sistem masih aktif, sehingga memungkinkan analisis forensik terhadap
keadaan sistem pada waktu tertentu.

(a) Git diperlukan untuk mengunduh kode sumber LiME dari GitHub, karena LiME
adalah perangkat lunak open-source yang dikembangkan di sana.

(b)Diperlukan juga GCC (GNU Compiler Collection) dan paket build-essential.

LiME adalah modul kernel yang harus dikompilasi sesuai dengan versi kernel
yang sedang berjalan di sistem. Dengan menggunakan GCC dan build tools,
LiME dapat dikompilasi menjadi modul kernel yang dapat dijalankan di sistem.

(c) Buka terminal di Ubuntu dan jalankan perintah berikut untuk memastikan
paket-paket dependensi yang diperlukan terinstal:

sudo apt update

sudo apt install build-essential linux-headers-$(uname -r) git

(d)Setelah menginstal paket dependensi, unduh kode sumber LiME dari

repositori GitHub resmi dan kompilasi modul kernel LiME dengan command
git clone https://github.com/504ensicsLabs/LiME.git

(e) Navigasi ke Direktori LiME cd LiME/src

 (f) Kompilasi LiME dengan menjalankan perintah make

(g)Setelah kompilasi selesai, buat dump memory ke file memdump.raw di

Desktop:
(h)sudo insmod ./lime-6.5.0-26-generic.ko
path=/home/anggri/Desktop/memdump.raw format=raw

penjelasan command :

sudo: Command yang digunakan untuk menjalankan perintah sebagai

superuser (root) atau dengan hak akses administratif.

insmod: Perintah untuk memasang (load) modul kernel baru ke dalam kernel
Linux yang sedang berjalan. Dalam hal ini, modul kernel yang dimuat adalah
lime-6.5.0-26-generic.ko.

./lime-6.5.0-26-generic.ko: Merupakan argumen yang menyebutkan modul

kernel yang akan dimuat. ./ menunjukkan bahwa modul ini berada di direktori
saat ini (current directory).

path=/home/anggri/Desktop/memdump.raw: Argumen ini memberikan path

(lokasi file) dari memdump.raw.

format=raw: Argumen ini menunjukkan format dari file memdump.raw, yang

dalam hal ini adalah format raw.
M. ANALISIS MEMORY MENGGUNAKAN FTK IMAGER
Dengan bantuan tools seperti FTK Imager, kita dapat melihat memdump yang
memuat berbagai artefak termasuk nama dokumen, aplikasi yang digunakan,
website yang diakses, dan aktivitas lain yang tersimpan dalam volatile memory.
Sebagai contoh, jika Anda memiliki modul 7.odt yang merupakan dokumen yang
digunakan
N. ANALISIS MEMORY MENGGUNAKAN PHOTOREC
PhotoRec adalah sebuah utilitas yang digunakan untuk pemulihan data pada sistem
operasi Linux dan platform lainnya. Secara khusus, PhotoRec dikembangkan untuk
mengembalikan file yang hilang atau terhapus dari media penyimpanan seperti hard
drive, USB drive, kartu memori, dan lainnya.
Instalasi PhotoRec :
Pertama, buka terminal dan jalankan perintah berikut untuk menginstal TestDisk
sudo apt update
sudo apt install testdisk -y

Setelah instalasi selesai, jalankan PhotoRec dengan perintah berikut:

sudo photorec
kemudian pilih image yang ingin kita gunakan untuk operasi pemulihan dan tekan
tombol Enter.
kemudian pilih lokasi untuk menyimpan hasil recovery dan tekan tombol ‘c’ untuk
melakukan recovery

Hasil pemulihan dari PhotoRec akan muncul dalam berbagai folder. Setiap folder
akan berisi file yang berhasil dipulihkan. kita dapat memeriksa setiap folder untuk
menemukan file yang di cari.
3. COLLECT DAN ANALISA NON VOLATILE
A. HASIL ANALISA LINUX EVIDENCE
Informasi non-volatile adalah informasi yang tidak berubah ketika komputer
dimatikan dan dapat memberikan petunjuk yang berharga tentang kejadian yang
terjadi pada sistem tersebut. Untuk keperluan forensic digital pada sistem non-
volatile, berikut adalah langkah-langkah yang bisa digunakan

a) cat /proc/cpuinfo:
Command ini digunakan untuk melihat informasi detail tentang CPU yang
terpasang pada sistem, termasuk vendor, model, jumlah core, cache, dan
fitur-fitur lainnya yang terkait dengan CPU.

b) cat /proc/self/mounts:
Command ini menampilkan informasi tentang filesystem yang saat ini
dipasang (mounted) pada sistem, termasuk jenis filesystem dan opsi
mounting yang digunakan.
c) uname -r:
Command ini digunakan untuk menampilkan versi kernel yang sedang
berjalan pada sistem, yaitu versi 6.5.0-26-generic

d) cat /proc/version:
Command ini menampilkan informasi lengkap tentang versi kernel Linux yang
digunakan pada sistem, termasuk versi compiler dan tanggal build kernel
tersebut. Versi kernel Linux yang digunakan pada sistem Xubuntu adalah
6.5.0-26-generic, yang dikompilasi dengan GCC versi 12.3.0 dan GNU ld
versi 2.38.

e) hostnamectl | grep Kernel:

Command ini menggunakan hostnamectl untuk menampilkan informasi
hostname sistem dan memfilter outputnya hanya untuk menampilkan
informasi versi kernel.

f) cat /etc/passwd:
Command ini digunakan untuk menampilkan informasi mengenai akun
pengguna (user accounts) yang ada pada sistem, termasuk username, user
ID, direktori home, dan shell default yang digunakan.
 g) sudo cat /var/log/auth.log:
Command ini mencoba untuk menampilkan log autentikasi sistem (auth.log)
dengan hak akses tinggi (elevated privileges) menggunakan sudo untuk
menghindari batasan permissions yang mungkin ada.

ini adalah analisis aktivitas yang dilakukan oleh pengguna anggri dengan hak akses
sudo (sebagai root) pada sistem Xubuntu:

 09:52:21: Pengguna anggri menggunakan sudo untuk menjalankan perintah zip dengan hak akses root.
Perintah yang dijalankan: /usr/bin/zip /volatility/plugins/linux/xubuntu.zip tools/linux/module.dwarf
/boot/System.map-6.5.0-26-generic.
 09:56:43: Pengguna anggri lagi menggunakan sudo untuk menjalankan perintah zip dengan hak akses
root.Perintah yang dijalankan: /usr/bin/zip /home/anggri/Documents/xubuntu.zip
/home/anggri/volatility/tools/linux/module.dwarf /boot/System.map-6.5.0-26-generic.
 10:05:54: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt update dengan hak
akses root.
 10:06:22: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install python dengan
hak akses root.
 10:07:24: Pengguna anggri menggunakan sudo lagi untuk menjalankan perintah apt update dengan
hak akses root.
 10:07:31: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install python-minimal
dengan hak akses root.
 10:08:09: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt update dengan hak
akses root.
 10:08:24: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install python2-minimal
dengan hak akses root.
 11:44:46: Pengguna anggri menggunakan sudo untuk menjalankan perintah install wine dengan hak
akses root.
 11:45:39: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install wine dengan
hak akses root.
 12:49:22: Pengguna anggri menggunakan sudo untuk menjalankan perintah apt install testdisk dengan
hak akses root.

h) cat /var/log/syslog
Perintah cat /var/log/syslog digunakan untuk menampilkan isi dari file syslog
yang terletak di direktori /var/log. File syslog berisi catatan (log) sistem yang
mencakup berbagai kejadian dan pesan dari berbagai komponen sistem
seperti kernel, layanan, dan aplikasi yang berjalan.
log sistem yang mencatat aktivitas yang terjadi pada sistem operasi Xubuntu
pada tanggal 7 April. Berikut adalah beberapa peristiwa yang dicatat dalam
log:

09:44:46: Beberapa layanan seperti rsyslog.service, logrotate.service, dan dpkg-db-backup.service

telah selesai dilaksanakan (selesai dijalankan).
09:49:45: Pekerjaan harian (daily job) yang dijadwalkan untuk cron.daily telah selesai dengan normal.
09:56:37: Aktivitas terkait virtual filesystem metadata service (gvfs-metadata.service) dimulai dan
berhasil diaktifkan.
09:56:38: Aktivitas thumbnailer service (org.freedesktop.thumbnails.Thumbnailer1) juga berhasil
diaktifkan.
09:56:58: User preferences database (ca.desrt.dconf) diaktifkan.
10:05:54 - 10:05:58: Proses update APT News dan local ESM caches telah selesai.
 10:13:38: Layanan Hostname Service diaktifkan.
10:17:01: Pekerjaan cron yang dijadwalkan untuk cron.hourly dilaksanakan.
10:30:01: Pekerjaan anacron dijalankan secara berkala.
11:55:40 - 11:56:06: Proses refresh metadata fwupd (Firmware update daemon) dan update plocate
database dilaksanakan.

B. HASIL ANALISA MAC EVIDENCE MENGGUNAKAN AUTOPSY

Berdasarkan hasil analisis MAC evidence menggunakan Autopsy dengan filter
berdasarkan ekstensi file, ditemukan:

150 file gambar

189 file audio
865 arsip (compressed files)
33 file database

Berdasarkan hasil analisa dari MAC_evidence.dd menggunakan Autopsy, terdapat

704 keyword hits terkait dengan alamat email. Dalam konteks email addresses
tersebut, beberapa alamat email spesifik dari domain metasploit.org muncul dengan
frekuensi tertentu:

a) jason.bird@metasploit.org: Ditemukan sebanyak 4 kali.

b) amanda.evans@metasploit.org: Ditemukan sebanyak 3 kali.
c) elaine.mcintire@metasploit.org: Ditemukan sebanyak 3 kali.
d) john.harrison@metasploit.org: Ditemukan sebanyak 3 kali.
e) ryan.perry@metasploit.org: Ditemukan sebanyak 3 kali.
B. HASIL ANALISA LINUX EVIDENCE SSD MENGGUNAKAN AUTOPSY
Dari hasil analisis pada LINUX_evidence_SSD menggunakan Autopsy, ditemukan
hal menarik terkait opsi "User Content suspected". Di sana terdapat sebuah file foto
yang menyimpan data meta EXIF dengan nama fotografer "Sabri Ismail".

Temuan ini memberikan petunjuk penting terkait identitas individu yang terlibat
dalam konten tersebut, yang bisa menjadi kunci untuk memahami asal-usul dan
konteks foto tersebut. Analisis lebih lanjut atas meta data ini dapat memberikan
tambahan informasi dalam proses pengungkapan kasus.

Kemudian terdapat 975 keyword hits terkait dengan alamat email. Pada opsi email
addresses beberapa alamat email muncul dengan frekuensi tertentu Berikut adalah
analisis email yang terurut berdasarkan jumlah :

ryan.perry@metasploit.org - ditemukan 5 kali

jason.bird@metasploit.org - ditemukan 4 kali
alex.hayes@metasploit.org - ditemukan 3 kali
amanda.evans@metasploit.org - ditemukan 3 kali
elaine.mcintyre@metasploit.org - ditemukan 3 kali
eric.washington@metasploit.org - ditemukan 3 kali
jared.blackburn@metasploit.org - ditemukan 3 kali
john.harrison@metasploit.org - ditemukan 3 kali
kimberly.clinton@metasploit.org - ditemukan 3 kali
michelle.tonge@metasploit.org - ditemukan 3 kali
robert.stott@metasploit.org - ditemukan 3 kali
ronald.black@metasploit.org - ditemukan 3 kali
ronald.tonge@metasploit.org - ditemukan 3 kali
ryan.jones@metasploit.org - ditemukan 3 kali
sandra.brown@metasploit.org - ditemukan 3 kali
sarah.knox@metasploit.org - ditemukan 3 kali
shawn.reagan@metasploit.org - ditemukan 3 kali
steven.patterson@metasploit.org - ditemukan 3 kali
william.potts@metasploit.org - ditemukan 3 kali

Dari daftar tersebut, email ryan.perry@metasploit.org memiliki jumlah terbanyak

yaitu 5 kali ditemukan, diikuti oleh jason.bird@metasploit.org dengan 4 kali
ditemukan, dan 16 alamat email lainnya masing-masing ditemukan 3 kali.
4. EXECUTIVE SUMMARY

Ringkasan Eksekutif Analisis Forensik Linux dan Mac

Analisis forensik pada sistem operasi GNU/Linux (Xubuntu) dan Mac dilakukan
dengan tujuan memahami informasi volatile dan non-volatile terkait keadaan
komputer, aktivitas pengguna, dan jejak digital yang ada. Berikut adalah temuan dan
analisis yang penting:

Temuan dan Aktivitas Harian

Laporan Dilakukan melalui VirtualBox dengan aplikasi harian seperti LibreOffice,
browsing web, dan instalasi serta penghapusan aplikasi.
Aktivitas Pengguna: Teridentifikasi berbagai perintah yang dijalankan oleh pengguna
melalui log auth dan syslog.

Informasi Volatile (State Komputer dan Memori)

Hostname dan Waktu: Dikumpulkan informasi tentang hostname, waktu sistem, dan
zona waktu.
Uptime: Menunjukkan lamanya sistem berjalan sejak boot terakhir.
Informasi Jaringan: Diperoleh informasi konfigurasi jaringan dan koneksi aktif
menggunakan perintah seperti ip, netstat, dan ifconfig.
Port Terbuka dan Koneksi: Dilakukan scanning port menggunakan nmap dan
identifikasi program yang terhubung melalui netstat.

Informasi Non-Volatile (File System)

Informasi CPU: Melihat informasi detail tentang CPU yang terpasang pada sistem.
Informasi Mounts: Menampilkan informasi tentang filesystem yang dipasang pada
sistem.
Versi Kernel dan Sistem: Melihat versi kernel, versi sistem, dan informasi user
accounts.
Log Aktivitas: Menganalisis log auth.log dan syslog untuk memahami aktivitas
sistem.

Analisis Mac Evidence (Autopsy)

Temuan File Multimedia: Ditemukan 150 file gambar, 189 file audio, dan 865 file
terkompresi.
Identifikasi Alamat Email: Berdasarkan analisis MAC evidence, teridentifikasi alamat
email terkait domain metasploit.org.

Kesimpulan
Analisis forensik Linux dan Mac menggunakan berbagai perintah terminal telah
memberikan wawasan mendalam tentang keadaan komputer dan aktivitas
pengguna. Temuan tersebut dapat digunakan untuk mengidentifikasi potensi
ancaman keamanan, aktivitas mencurigakan, atau jejak digital yang relevan untuk
investigasi lebih lanjut.

Kesimpulannya, analisis ini memperlihatkan pentingnya pemahaman tentang

informasi volatile dan non-volatile dalam forensik digital untuk mengungkap aktivitas
yang terjadi pada sistem operasi.