Dasar Digital Forensik [1] Menggunakan ...

Dasar Digital Forensik [1] Menggunakan Volatility


Di artikel ini gue akan bahas lagi tentang teknis,btw ini nemu di hardisk lama
yang dulu nya pernah mau gue submit untuk e-zine komunitas open source
dan sempat gue bawa ke workshop mereka di daerah purbalingga tahun 2017
gue up lagi,karena 2bulan belakangan ini
gue pelan-pelan mulai utak-atik open source lagi(OS,Hacking,bug dll) termasuk yang lagi gue bahas ini
jadi,gue masukin kategori hacking,dah lama banget gak ngulik zona nya maho hacker,hehehe.

Digital forensic adalah sebuah kegiatan teknis dari cabang ilmu IT
untuk melakukan investigasi mendalam tentang sebuah system/device/server
yang di duga menjadi obyek (target hacking) dan atau subyek (barang bukti berupa laptop yang di pakai) atas tindak kriminal
kini,ilmu tersebut tidak hanya menjadi sub bagian dari investigasi kepolisian dan teknologinya
namun beberapa konsultan hukum juga menekuni pengetahuan ini,untuk bahan di persidangan
ilmunya apa saja?

Beberapa diantaranya tentu ilmu statistik dan probabilitas untuk menganalisa
lalu pemahaman tentang sistem operasi (DOS,Unix,BSD,Solaris)
lalu pemrograman,jelas 2 hal ini sebuah pondasi dasar
karena sistem operasi di ciptakan oleh seorang software engineer yang memiliki keahlian dalam pemrograman komputer
kemudian elektronika yang menjadi rujukan penting mengenai
bagaimana memori bekerja,apa jenisnya,pengetahuan jenis-jenis disk drive dan defragmentnya
bios yang harus di analisa,tak ketinggalan firmware sebuah perangkat tambahan
seperti perangkat jaringan (router,switch,modem) bahkan perangkat yang memancarkan sinyal
mulai dari rfid,mifare,proximity,wireless 802.11a/802.11b/802.11g/802.11.n,zigbee dan lain sebagainya.

Semua tak luput dari tindakan investigasi forensik digital,terlebih pada kasus-kasus besar
yang apabila kesemua komponen di atas saling terhubung.

Nah,dalam kasus ini gue akan mencoba melakukan analisa terhadap sebuah disk image dari sebuah
sistem operasi yang telah menjadi korban pencabulan brutal seorang attacker
yang menjadi sebuah petunjuk dari Image itu sendiri di mana Image yang selalu tercatat oleh RAM
adalah sebuah kunci utama pada study case ini
bisa di ibaratkan RAM itu seperti..jaringan otak ya meskipun bukan otak tengah,kanan-kiri,belakang.

Jadi,saat komputer kita berjalan secara multi tasking,di situ RAM bekerja keras
yang satu jalanin chrome,lalu jalanin microsoft word,lalu winamp atau game solitaire,hehe
jadi di tampung sementara di memory RAM,yang di jalankan dari sebuah blok register dari hardisk
lalu di load ke blok address di sebuah ram,dalam bentuk memory address
lalu memory ini segera ilang ketika komputer shutdown.

Nah,kira-kira apa aja sih yang ada di RAM ini? biasanya ada open socket alias salah 1 blok jaringan
yang jadi transmisi komunikasi dari dan ke dalam komputer kita ke sebuah server (misal twitter)
lalu ada clipboard (clipboard itu kalau kita melakukan copy sebuah file dan sebelum paste,di situlah letak clipboard)
artinya banyak informasi dari yang kita kerjakan dengan komputer di catat sementara oleh RAM
apakah itu bisa di korek? jelas bisa.

Di samping itu,hardisk keluaran masa kini juga banyak yang dienkripsi dengan tools software seperti TrueCrypt bahkan password
yang malah jadi cache,di sebuah alokasi address di RAM
biasanya kalau hdd sudah di enkripsi,akan cukup memusingkan bagi investigator.

Ada banyak tools / software untuk mengambil data dari memori
tapi beberapa diantara investigator menggunakan Imager FTK (Forensic Tool Kit)
karena bisa di pakai secara gratis maka dari itu
tools ini ImagerFTK menjadi sebuah standar bagi para investigator,dan akan kita pakai di sini.
 
Oke,yang kita butuhkan adalah :




  • komputer windows
  • software ImagerFTK
  • virtual machine (virtualbox,vmware,xen dlsb yang terinstall kalilinux)

 
Penggunaan ImagerFTK untuk mengambil data di memori
oh iya,image di sini bukan image gambar ya,tapi image dari disk image
karena skenario yang akan kita jalankan adalah mengambil file keseluruhan OS yang akan kita investigasi
menjadi file .mem lalu kita oprek satu per satu
karena tujuan utama kita adalah menganalisa apa saja yang di lakukan oleh [let's say hacker)
di mesin korban (system yang telah di hack)


Saat ini masih pakai komputer windows ya,setelah download,lalu install,ImagerFTK siap di gunakan
Lalul klik File -> Capture Memory



Lalu klik,tinggal pilih dimana nge save memory dump nya
lalu,file apa yang akan di panggil dan mau di masukkan ke page (memory virtual)  yang mana
dan apa mau di buat file AD1 (tipe data ekslusif AccessData)



Dalam kasus ini,saya membuat nama folder "memory dumps" dengan nama file memdump.mem yang diantaranya sebuah memori virtual atau pagefile
tapi di sini tidak ada file AD1 seperti di atas,kalau anda mau ikutan belajar,sebaiknya ikuti sama persis dulu
jika sudah,klik Capture Memory

Setelah itu muncul window/jendela yang akan menampilkan progress tools tersebut yang berjalan cukup lama

 
Penggunaan Volatility

Setelah meng-capture memori di atas,lalu menganalisanya,dari sini kita akan memetakan sedikitnya 20-30%
terduga ini ngapain aja sih, di sistemnya,di pakai apa aja sih komputer ini,kira-kira begitu.

Volatility ini nama toolsnya atau nama softwarenya yang terbuat dari python,karena sudah otomatis ada di kali linux
kita tinggal hidupkan vmware / virtualbox yang sudah terinstall kali linux
tapi kalau anda memang tidak mau atau kesulitan install kali linux,tinggal download saja di web resminya
volatilityfoundation.org karena sudah tersedia untuk beberapa jenis OS.

command di kali linux adalah : kali > cd /usr/share/volatility
dan lihat gambar di bawah ini,iktui saja:





Selanjutnya kita harus mendapatkan profil image dari memory dump tadi ya,karena ini akan jadi kunci utama
yang kemudian akan membantu volatility untuk menentukan dimana terdapat informasi utama dari memory tersebut
karena seteiap jenis sistem operasi akan meletakkan informasi di memory space yang tidak sama

Caranya :

kali > python vol.py imageinfo -f / letak_image_anda_simpan

karena saya taroh di desktop jadinya

kali > python vol.py imageinfo -f /root/Desktop/memdump.mem

Gunanyaaa,,,command ini akan memeriksa file memory yang jadi bukti OS dan informasi penting lainnya



Di ketahui,tools ini mengidentifikasi ada OS win 7 64bit lalu ada AS layer 1 dan 2
kemudian jumlah prosesornya package service nya dan fisik address space di tiap proccesor nya


Profiling

Setelah kita restore dump profile di memori ini,kita bisa mulai pakai beberapa function di Volatility,misal kalau mau buat list registry
dimana plugin hiveinfo akan di gunakan,dengan menjalankan perintah :


kali > python vol.py --profile Win7SP1x64 hivelist -f /root/Desktop/memdump.mem

digital-forensik6.png

Note :
tools volatility ini bisa bikin list hive termasuk yang di lokasi virtual atau fisik ram itu sendiri ya.

Jadi dengan split profile image sangat penting,karena tiap-tiap OS selalu menyimpan informasi
di berbagai tempti di sebuah RAM,volatility harus dapat profil (OS,package service dan arsitektur os itu sendiir)
agar bisa memetakan kemana saja image akan di temukan sebagai informasi yang di perlukan.


List Process

Setelah profiiling,kita akan cari tau,proses apa saja yang di jalankan orang yang menggunakan komputer ini
saat kita capture hasil dari RAM ini :

kali > python vol.py --profile Win7SP1x64 pslist -f /root/Desktop/memdump.mem



Penjelasan :

vol.py nama programmnya
hasil dari --profile Win7SP1x64 adalah profil dari sistem tempat memori diambil.
pslist adalah plugin untuk menguraikan proses yang sedang berjalan.
-f /root/Desktop/memdump.mem adalah lokasi file image.
 


See? Volatility mengurai semua proses yang di jalankan,dan mengumpulkan informasi dari image di ram
sekarang kita coba xplor lagi



Profiling udah,process list udah,biasanya apalagi yang ada pada windows? iyaaa file .dll atau singkatan dari
Dynamic Link Library,sebuah pustaka dari program dari bentuk kode program untuk di kompilasi menjadi installer
dan ketika di install,maka muncul file executable,agar program dapat berjalan dengan benar
maka library di butuhkan,misal program edit gambar,maka dari itu di butuhkan library colorlib contohnya,supaya kalau ngedit ambar ada warnanya
untuk melihat DLL yang berjalan pada sistem,kita tinggal make plugin dlllist kayak gini

kali> python vol.py --profile Win7SP1x64 dlllist -f /root/Desktop/memdump.mem



naah,keliatan kan,di komputer ini ada dll apa aja...

Sekarang kita cari Clipboard,kira-kira di komputer ini,apa aja sih clipboardnya,beberapa file yang pernah di copy

kali > python vol.py --profile Win7SP1x64 clipboard -f /root/Desktop/memdump.mem



Terlihat di gambar bahwa isinya HEXadecimal semua yang harus di konversi ke ASCII agar lebih mudah di baca
di sini saya tidak akan membahas cara membacanya,karena sudah jelas tinggal konversi saja,dan googling bagaimana cara
membaca file di gambar tersebut.

Lalu,kita juga harus mencari bukti nyata bahwa pada waktu-waktu tertentu
si hacker ini ngapain,di hari dan tanggal berapa,kita akan runut

kali > python vol.py --profile Win7SP1x64 timeliner -f /root/Desktop/memdump.mem



Nah,muncul time stamp nya dia jalanin proclaunch.exe pada tanggal 9 maret 2016 jam 3 sore waktu setempat

Biasanya,hacker setelah berhasil menyusupi sistem/komputer yang di hacknya
dia akan meninggalkan backdoor,serapi mungkin se halus mungkin supaya tidak terdeteksi rkhunter kalau di linux
atau antivirus kalau di windows,nah,backdoor ini di klasifikasikan sebagai malware / malicious software
sehingga,saat hacker akan mengakses komputer korban,dia nggak perlu repot-repot nge hack lagi

Tapi nggak cuma itu aja sih, ada juga software yang tanpa kita sadari sudah di pasang malware
seringkali,software yang di backdoor/yang di pasang malware sama hacker
adalah software bajakan,nah tidak ada makan siang gratis ya,kalau mau jalanin software crack mesti pikir-pikir dulu ya
apalagi komputer yang kita pakai untuk kerja,bahaya kan...
sekarang kita cari dimana dia pasang malwarenya.

kali > python vol.py --profile Win7SP1x64 malfind -f /root/Desktop/memdump.mem



Woow,banyak sekali..semuanya di tampilkan dalam bentuk hexadecimal
seperti di artikel teratas,bahwa peran software engineer sangat di butuhkan di sini

yakni untuk membaca hasil malware yang di tampilkan secara disassemble oleh volatility.

Nah,menurut penulis,tools volatility ini sangat bermanfaat untuk melakukan analisa
yang merupakan tahap awal dan tahap lanjut untuk melakukan forensik digital
terhadap sebuah komputer yang di susupi hacker.

Yang saya lakukan ini adalah protocol wajib bagi seorang forensik investigator
tapi masih membutuhkan metode dengan tools lain yang lebih canggih
untuk mengumpulkan bukti kuat di persidangan,pembaca bisa mencobanya di rumah
dan iseng-iseng modif dikit,dan akan berlanjut pada artikel selanjutnya
Dasar Digital Forensik [2] Membaca Prefetch Sebagai Jejak yang Di tinggalkan

Semoga artikel ini bermanfaat dan dapat menjadi pelajaran bagi kita


Right menu
Tag Cloud