Kali ini kita kami akan membahas tugas praktikum Uji Forensik Objek Digital tentang sebuah kasus yang di dapatkan dari http://forensicscontest.com/2009/10/10/puzzle-2-ann-skips-bail.
diberikan sebuah file .pcap bernama evidence02.pcap (dapat didownload disini).
tantangan yang harus dijawab :
Setelah dibebaskan dengan jaminan, Ann Dercover menghilang! Untungnya, penyidik dengan hati-hati memantau aktivitas jaringan sebelum ia meninggalkan kota.
“Kami percaya Ann mungkin telah melakukan komunikasi dengan kekasih rahasianya, Mr. X, sebelum dia pergi,” kata kepala polisi. “Di dalam file capture aktifitas jaringan Ann mungkin berisi petunjuk keberadaannya.”
Anda penyidik forensik. Misi Anda adalah untuk mencari tahu alamat email Ann, di mana dia pergi, dan termasuk mengangkat barang bukti:
1. Apa alamat email Ann?
2. Apa password dari email Ann?
3. Apa alamat email kekasih rahasia Ann ?
4. Apa nama dua barang yang diminta oleh Ann kepada kekasih rahasianya untuk dibawakan?
5. Apa NAMA lampiran Ann yang dikirim ke kekasih rahasianya?
6. Apa md5sum dari lampiran Ann yang dikirim ke kekasih rahasianya?
7. Apa nama Kota dan Negara yang menjadi tempat pertemuan keduannya?
8. Apa md5sum dari gambar yang tertanam dalam dokumen?
Kita akan mencoba untuk melakukan analisa file evidence02.pcap dengan menggunakan wireshark dan menjawab semua tantangan yang diberikan, system operasi yang akan kita gunakan adalah ubuntu 14.04
Langsung saja, pertama buka file evidence02.pcap dengan wireshark.
Ada banyak cara untuk menganalisa atau untuk mendapatkan informasi-informasi yang terdapat pada hasil capture lalu lintas jaringan, kali ini kita akan mencoba langsung cara yang paling mudah yaitu dengan langsung mengetikkan pada filter input.
Karena kita ingin mengetahui informasi paket apa saja yang terkirim atau komunikasi apa saja yang dilakukan maka perintah filter yang kita ketikkan adalah “tcp.stream eq 1” artinya filter semua paket transfer yang terjadi pada frame 1.
maka akan tampil semua tcp stream yang terjadi pada frame 1, dan data yang tercapture bisa langsung dilihat.
- Apa alamat email Ann ?
Nama email dari Ann adalah sneakyg33k@aol.com - Apa password dari email Ann
Password dari email Ann adalah “NTU4cjAwbHo=” atau jika di decoding dengan base64 “558r00lz” - Apa alamat email kekasih rahasia Ann ?
Terlihat alamat email dari kekasih rahasia ann adalah “mistersecretx@aol.com” - Apa nama dua barang yang diminta oleh Ann kepada kekasih rahasianya untuk dibawakan?
nama dua barang yang diminta ann untuk dibawakan oleh kekasih rahasianya adalah “fake passport” dan “bathing suit”. - Apa NAMA lampiran Ann yang dikirim ke kekasih rahasianya?
Nama file rahasia yang dikirim oleh ann ke kekasih rahasianya adalah “secretrendezvous.docx”Apa md5sum dari lampiran Ann yang dikirim ke kekasih rahasianya? - Untuk menjawab soal nomor 6 ini kita harus mengekstrak file yang diencoding dengan encoding base64, pilih kemudian di select bagian awal sampai akhir dari data.setelah diselect, kemudian disimpan kedalam file dengan nama ‘rendezvous_base64’, setelah itu baru didecoding dengan menggunakan terminal seperti perintah dibawah, kemudian simpan file hasilnya dengan nama “secret_rendezvous.docx”
baru setelah diekstrak baru bisa dihitung md5sum dari file tersebut dengan melakukan perintah seperti dibawah ini.
md5sum dari file “secret_rendezvous.docx” = 9e423e11db88f01bbff81172839e1923 - Apa nama Kota dan Negara yang menjadi tempat pertemuan keduannya?
Buka file secret_rendezvous.docx
didalamnya terlihat nama dan lokasi tempat dimana ann dan kekasihnya ingin bertemu yaitu di Playa del Carmen, Mexico - Apa md5sum dari gambar yang tertanam dalam dokumen?
Gambar yang ada dalam file “secret_rendezvous.docx” bisa di extract dengan cara, ubah nama file “secret_rendezvous.docx” menjadi “secret_rendezvous.zip”, kemudian di buka file zip tersebut, maka akan tampil.
kemudian masuk ke folder /word/media/, maka akan terlihat file gambar yang ada dalam file “secret_rendezvous.docx” tadi.
kemudian extract file gambar tersebut.
Setelah itu cari md5sum dengan melakukan perintah pada terminal.
jadi md5sum dari image1.png = “aadeace50997b1ba24b09ac2ef1940b7”
Ping balik: Penerapan Prinsip Occam’s Razor + Alexiou dan Pendekatan 5W1H di dalam Memecahkan Kasus Ann Skips Bail | BiGeTion