Tools Digital Forensik

Hari ini saya lagi baca-baca tentang digital forensik. Digital forensik ini proses mempelajari artefak, biasanya untuk mencari barang bukti dalam sebuah penyidikan. Digital Forensik ini toolsnya banyak banget, berikut ini beberapa tools yang bisa dipake untuk digital forensik:

Free Hex Editor Neo: tools untuk binary file editor, biasanya dipake untuk mempelajari kode dari sebuah program 

Helix Forensichttp://www.e-fense.com  tools forensik bisa dipake untuk berbagai sistem operasi, bisa untuk mempelajari aktifitas internet, forensik jaringan, RAM, proses yang sedang berjalan dll. Tools ini keren, tapi berbayar. Ada versi trial 30 hari

COFEE: Computer Online Forensics Evidence Extractor : tools dari microsoft untuk membantu penyidik forensik mengekstrak evidence dari komputer windows. Tools ini dapat diinstal di flash drive USB untuk melakukan analisa forensik live. Khusus untuk polisi dan penegak hukum, microsoft memberikan tools ini gratis. Untuk rikues tools ini bisa dilihat di https://www.nw3c.org/investigative-resources

FieldSearch: tools forensik untuk mempelajari browser history, cari text, cari gambar, bikin report, chat history, registry, cari hash, recycle bin dll

Deftlinux : distro linux untuk forensik, ada banyak tools, tapi kayaknya udah discontinu

Registry viewer: tools untuk melihat isi register

FTK Imager

WinHex 

MobilEdit

Mobile Image Pro

Forensic Explorer 

Beberapa teknik forensik di Windows

  1. cek versi OS: SOFTWARE\Microsoft\Windows NT\CurrentVersion
  2. disana bisa dapet juga tanggal instalasi dalam bentuk hexa. Untuk decodenya bisa pake tools time Lord dari Paul Tew.
  3. cek Password:      

HKCU\Software\Microsoft\Internet Explorer\IntelliForms\SPW ; HKCU\Software\Microsoft\Protected Storage System Provider

4. terus pake tools Pass recovery dari Nirsoft

5. Untuk cek program yang berjalan pas Startup

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

6. Untuk melihat recent files, alias file yang baru dibuka

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32

MRU (Most recent Use)

CIDSizeMRU

(aplikasi-aplikasi terakhir/terkini yang digunakan),

FirstFolder (folder-folder terakhir/terkini yang dibuka)

LastVisitedPidMRU (file-file terakhir/terkini yang diakses oleh aplikasi tertentu)

OpenSavePidMRU (berisikan file-file terkahir/terkini yang dibuka dan disimpan/save)

7. Ngeliat Last shutdown (waktu terakhir kali komputer dimatikan) dan time zone Registry di registry keys: SYSTEM\ControlSet001\Control\Windows\ShutdownTime

8. Ngeliat USB yang baru terhubung

SYSTEM\ControlSet001\Enum\USBSTOR

9. Ngeliat User yang ada

SAM\SAM\Domains\Account\Users

SAM\SAM\Domains\Account\Users\{RID}

10. Ngeliat last login

setup*.log, setup*.old, setuplog.txt dan winnt32.log

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\

 

Beberapa tools Forensik yang bisa dipake buat linux, ada yg opensource juga: 

Kape – tools forensik

Untuk para penggemar Forensik, ada tools baru namanya KAPE. Program ini digunakan untuk menemukan artifak forensik dan melakukan parsing. Dengan KAPE ini penyelidik bisa menemukan artifak dengan cepat dan menentukan prioritas artifak tersebut.

Tools ini dapat penghargaan DFIR non-commercial tool of the year. Tools ini gak perlu diinstal, bekerja dalam command line. Tentang KAPE bisa dilihat pada web ini:

https://ericzimmerman.github.io/KapeDocs/#!index.md

Bisa dilihat juga di github berikut ini:

https://github.com/EricZimmerman/KapeFiles

Untuk mahasiswa yang sedang cari topik Proyek Akhir mungkin bisa dieksplorasi tools KAPE ini, dan dikembangkan jadi tools PA.

Semoga Bermanfaat!

Tools Footprinting

Footprinting adalah proses pengumpulan informasi.
Ada banyak tools keren yang bisa dipake untuk melakukan footprinting
Shodan
https://www.shodan.io
The Harvester
https://github.com/laramies/theHarvester
Google Dorks
https://en.wikipedia.org/wiki/Google_hacking
Maltego
https://www.maltego.com/products/
Recon-ng
https://github.com/lanmaster53/recon-ng
TinEye
https://tineye.com
CheckUsername
https://checkusernames.com
https://knowem.com/checkusernames.php?

Windows Shellbag Forensic

Hari ini saya lagi belajar tentang Windows Shellbag Forensic. Ternyata dari shellbags kita bisa mengetahui berbagai info menarik yang bisa kita gunakan dalam memecahkan kasus digital forensik. Walaupun saya masih newbie tentang Forensik, saya akan coba share kegunaan mempelajari Shellbags dalam proses Digital forensik di OS Windows.

Apa sih fungsi Shellbag?

Di sistem operasi Windows ada bagian dari Registry yang dinamakan shellbags. Shellbag itu digunakan Windows untuk menyimpan informasi tentang kebiasaan kita ketika menampilkan sebuah folder di Windows Explorer. Misalnya ketika kita buka sebuah folder document, maka akan dicatat di shellbag kapan kita membuka folder tersebut. Selain itu Windows juga mencatat kebiasaan kita seperti misalnya kita senang menampilkannya data di folder tersebut dalam bentuk small icon, large icon maupun detail. Atau juga misalnya kita biasa melakukan sorting file berdasarkan ukurannya, maksudnya file dengan ukuran terbesar pada folder tersebut akan tampil paling atas. Atau berdasarkan waktu. Jadi file yang terbaru akan ditampilkan di urutan pertama, dll

Jadi kalo kita kemudian buka folder tersebut, maka folder akan ditampilkan persis seperti terakhir kali folder itu kita buka. Informasi ini disimpan di salah satu registry  key yg namanya shellbag.

Nah informasi di shellbag ini sangat berguna dalam proses digital forensik. Karena dengan mempelajari shellbag kita jadi tau kapan user membuka sebuah folder, folder apa yang dibuka oleh seorang user dll.

Contoh kasus, sebuah perusahaan menduga seorang karyawan X membocorkan sebuah dokumen rahasia perusahaan. Nah kita bisa lakukan forensik di komputer karyawan X dan mempelajari bagian registry yang namanya shellbags. Bila  karyawan X tersebut pernah membuka dokumen rahasia tersebut, maka di shellbags akan ditemukan informasi tersebut. Kapan karyawan X membuka folder yang berisi dokumen rahasia tersebut.

Kasus lainnya bila karyawan X menghapus sebuah dokumen rahasia perusahaan. Maka di komputer karyawan X bisa kita pelajari di shellbags, kapan file tersebut dihapus. Karena walaupun sebuah folder dihapus, shellbags-nya tetap ada.

Struktur Shellbag

Shellbag mempunyai dua bagian yaitu  BagMRU dan Bags.  BagMRU menyimpan nama folder dan lokasi (path) dari folder tersebut. Sementara Bags menyimpan informasi seperti ukuran window, lokasi window dan kebiasaan user dalam menampilkan folder (view mode). BagMRU adalah Desktop. “BagMRU\0”  menyimpan informasi tentang folder pertama yang dibuka user. “BagMRU\1” menyimpan informasi tentang folder berikutnya yang dibuka user dst.

Informasi di Shellbag

Beberapa informasi yang bisa diperoleh dari shellbags misalnya:

  • kapan folder ini dibuat,
  • kapan folder ini diakses,
  • Siapa yang mengakses
  • kapan folder ini dihapus
  • Kalo sebuah folder tidak pernah dibuka, maka tidak ada data tentang folder tersebut di shellbag.

Tools

Walaupun begitu tidak mudah untuk memahami isi dari shellbags. Kalo kita langsung tampilkan informasi Shellbag di registry pake regedit, maka dijamin bingung. Kita membutuhkan tools seperti Shellbags explorer ,  Registry Decoder, TZWorks sbag, dan RegRipper untuk memahaminya. Selain itu Shellbags untuk setiap versi Windows juga tidak sama. Misalnya di Windows 10, shellbagsnya berbeda dengan windows XP.

Cukup seru mempelajari shellbag ini. Perlu banyak latihan. Beberapa bahan bacaan tentang windows shellbag forensic:

https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545

http://www.williballenthin.com/forensics/shellbags/

https://www.magnetforensics.com/computer-forensics/forensic-analysis-of-windows-shellbags/

blog sans digital forensic dan blog lainya

Semoga Bermanfaat!