LAPORAN ANALISA KASUS 1 DAN KASUS 2 Investigator
Fauzan Natsir (14917123)
Soal Kasus 1: Dalam file yang terdapat dalam folder “Kasus 1” tersebut, terdapat 1 file pdf (Kategori Forensik.pdf) sebagai petunjuk kasus, 1 file berkas zip (Network_Forensics.zip) dan 1 file berkas rar ( untuk dibaca.rar) yang harus dicari passwordnya dari analisa file pdf. Untuk file “Kategori Forensik” terdapat isi file sebagai berikut: Kategori Forensik ===================================================================== Seorang karyawan di salah satu perusahaan melaporkan ke kepala IT perusahaannya bahwa ia telah k3hilangan suatu file setelah dia menggunakan computer kantor dan melakukan kegiatan browsing, yang mana file tersebut berisi data - data pribadi, didalam file tersebut jugo terdapat akun recening bank miliknya. ===================================================================== soal densus86 : Lakukan forensik terhadap file tersebut dan buat laporan dokumentasi sebaik mungkin!!! look around find the chain of custody good luck ^_^ Step 1 File pdf yang sudah dapat dibuka, di atas terdapat karakter yang aneh (case sensitive). Ada beberapa clue terdiri dari string bold dan kata-kata yang rancu sehingga diketemukan password sebagai berikut : “sp3cial-force86!!!” Setelah mendapatkan password tersebut, maka bisa diasumsikan bahwa string tersebut akan menjadi clue di langakah-langkah selanjutnya. ekstrrak file rar dengan password yang telah diketemukan, maka akan menemui file “Network_Forensics.pcapng”.
Step 2 File
“Network_Forensics.zip”
ini
berisi
satu
file
yang
dikompres
yaitu
“Network_Forensics.pcapng”, akan tetapi file tersebut dilengkapi dengan password pengaman ketika hendak dilakukan ekstrak. Setelah melakukan spekulasi dengan memasukkan string “sp3cial-force86!!!” yang ditemukan dari analisa file Kategori Forensik.pdf ternyata file “Network_Forensics.pcapng” dapat diekstrak. Step 3 File tesebut berisi dua file yaitu file 1 dan 2, akan tetapi dilengkapi password pengaman, ketika hendak dilakukan ekstraksi meminta masukan password. Dalam mencari password untuk membuka file “untuk dibaca.rar” dilakukan analisis pada file “Network_Forensics.pcapng” yang telah ditemukan sebelumnya karena ketika dimasukkan password “sp3cial-force86!!!”, file tidak dapat dibuka dan harus dilakukan analisa pada file“Network_Forensics.pcapng”. File tesebut dibuka dengan aplikasi Wireshark kemudian dilakukan proses filter dan parsing dalam mencari string password. Banyak kemungkinan password yang ditemukan identik dengan yang digunakan sebagai pengaman file “untuk dibaca.rar”. Dalam melakukan proses filter dilakukan filter berdasarkan protokol FTP, dikarenakan protokol FTP ketika dilakukan akses memerlukan
otentikasi
user
“Network_Forensics.pcapng”,
dan
password.
Berikut
file
capturing,
filter
file
Dari capture picture di atas, ditemukan adanya aktivitas login via protokol FTP, yaitu dengan Username: tejo, Password: permisi. Password dengan string “permisi” diujicobakan untuk melakukan ekstraksi file “untuk dibaca.rar” dan hasilnya password cocok dan file berhasil diekstrak. Setelah file tersebut, berhasil dibuka, maka kasus 1 berhasil dipecahkan. CONCLUSION Pada Kasus 1, ditemukan jawaban soal adalah "172.16.6.24", jawaban ditemukan pada file 1 yang dikompress ke dalam file “untuk dibaca.rar” yang diproteksi dengan password pengaman.
Soal Kasus 2: Dalam file yang terdapat dalam folder “Kasus 2” tersebut, terdapat 1 file clue dan file soal.pcap.
Dari file pertama “clue” diketahui bahwa file ini merupakan file yang berisi petunjuk dan arahan awal tentang kasus yang akan diungkap. File tersebut dapat terbaca dengan jelas tanpa ditemukan adanya pengaman. Format file tersebut adalah .txt sehingga sudah bisa dibaca.
File Kedua “soal.pcap” merupakan file hasil capture traffic jaringan (network) yang menjadi barang bukti kunci yang perlu dibongkar. Selanjutnya file tersebut akan dilakukan forensik untuk menemukan petunjuk-petunjuk lainnya. File bisa dibuka menggunakan Wireshark. File tersebut dapat diidentifikasi dari file clue (petunjuk) diketahui bahwa ada aktivitas telepon (MENELPHONE) yang diindikasikan melalui VoiP. Oleh karena itu, dengan menggunakan tool Wireshark dilakukan analisis protokol VoiP. Ditemukan adanya lalu lintas pada protokol SIP yang digunakan VoiP, setelah dilakukan decode pada paket lewat protokol SiP tersebut dapat ditemukan audio berisi lagu yang dicari. Setelah dibuka lewat player, lagu secara utuh dapat didengarkan. Setelah diamati lagu yang ditemukan hasilnya diketahui judul lagunya yaitu: Rayuan Pulau Kelapa.
Berikut file capturing, decode audio di VoIP
CONCLUSION Judul lagunya yaitu: Rayuan Pulau Kelapa.