TUGAS KELOMPOK 2 (Winhex) KELAS D (TI)

PENGANTAR FORENSIK TEKNOLOGI INFORMASI

Disusun oleh:

1. ALMALIK N. R. RAMADHAN (152022) 2. INDRA NAFIAR SETIAWA (152318)

3. JONI PATENDA (152325)

4. ASTUTI BELLA (152335)

5. RONALD LAMBA (152345)

Dosen : ERFAN HASMIN, S.Kom, MT

SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN KOMPUTER (STMIK) DIPANEGARA MAKASSAR 2016

Kata Pengantar

Dengan menyebut nama ALLAH SWT yang Maha Pengasih lagi Maha Penyayang, kami panjatkan puja dan puji syukur atas Kehadirat-Nya, yang telah melimpahkan rahmat, hidayah dan inayah-Nya kepada kami, sehinggan kami dapat menyelesaikan makalah Mengenai Penjelasan program forensic Winhex.

Makalah ini telah kami susun dengan baik, meskipun begitu kami menyadari sepenuhnya bahwa masih ada kekurangan baik dari segi susunan kalimat maupun tata bahasanya. Oleh karena itu dengan tangan terbuka kami menerima segala saran dan kritik dari pembaca agar saya dapat memperbaiki makalah ini menjadi lebih baik.

Akhir kata saya berharap semoga makalah tentang penjelasan program forensic Winhex ini dapat memberikan informasi yang dibutuhkan pembaca.

A. OVERVIEW

WINHEX : Software Forensic

WinHex adalah editor hexadecimal universal, yang paling utama dan sangat membantu dalam menupulkan data pada bidang komputer forensik, pemulihan data, proses data dalam tingkat yang rendah, dan keamanan IT. Sebuah peralatan yang semakin maju setiap harinya dan penggunaan dalam keadaan darurat : memeriksa dan mengedit semua jenis file mengembalikan data yang telah dihapus atau data yang telah hilang dari hard drives system file yang corrupt, atau dari kartu memory digital camera.

Menu-menu yang terdapat pada winhex :

1. Direktori browser : Elemen antarmuka pengguna yang kemungkinan paling penting dalam WinHex adalah yang disebut direktori browser, yang menyerupai daftar-daftar Windows Explorer. Tugas utamanya adalah untuk menampilkan (dan berinteraksi dengan) snapshot volume. fungsionalitas lengkap hanya tersedia dengan lisensi forensik. Secara default, pertama direktori browser berisi direktori-direktori, kemudian file. File yang dikompresi ditampilkan dalam warna biru, file terenkripsi hijau.

2. Toolbar, Berisi icon-icon shortcut yang umum digunakan pada winhex. Icon shortcut ini mempermudah agar user tidak perlu membuka menu-menu yang banyak terlebih dahulu, dengan toolbar ini user dapat dengan mudah mengguanakan fungsi winhex dengan cepat.

3. Status bar menampilkan informasi berikut tentang file: Jumlah halaman saat ini dan jumlah total halaman (disk editor: sektor), Posisi sekarang (offset), terjemahan desimal dari nilai-nilai hex di posisi saat ini, Awal dan akhir blok saat ini (jika saat ini didefinisikan), serta Ukuran blok saat di bytes (ditto). 4. Data Interpreter adalah jendela kecil yang menawarkan kemungkinan

terjemahan untuk data pada posisi kursor saat ini.

5. Data case window merupakan jendela khusus untuk memuat kasus-kasus data yang digunakan atau yang akan dibuat.

1. Disk editor untuk hard disk, floppy disk, CD-ROM & DVD, ZIP, Smart Media, Compact Flash.

2. Dukungan untuk FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF 3. Memiliki interpretasi untuk sistem RAID dan dynamic disks

4. Berbagai macam teknik pemulihan data

5. RAM editor, menyediakan akses kepada physical RAM, dan proses–proses yang dimiliki virtual memory

6. Penerjemah data, mengetauhi 20 jenis type data

7. Mengedit struktur data menggunakan templates (contoh : untuk memperbaiki tabel partisi / boot sector)

8. Menyatukan dan memisahkan file, menyatukan dan membagi kejanggalan dalam bytes/words

9. Menganalisa dan membandingkan file – file

10.Pencarian yang paling flexibel dan mengganti fungsi – fungsi 11.Disk cloning (undr DOS dengan X-Ways Replica)

12.Mengatur gambar dan mengamankannya (menurut pilihan dikecilkan ukuran filenya atau dipisahkan menjadi dokumen – dokumen sebesar 650 MB)

13.Memprogram interface (API) dan menulis program

14.Enkripsi AES 256-bit, pengecekan total, CRC32, hashes (MD5, SHA-1) 15.Menghapus file rahasia dengan aman, membesihkan hard drive demi menjaga

privacy

16.Mengimpor semua format clipboard, termasuk ASCII hex

17.Mengkonversi diantara biner, hex ASCII, Intel hex, dan Motorola S 18.Setelan karakter : ANSI ASCII, IBM ASCII, EBCDIC, (Unicode) 19.Pergantian jendela yang cepat. Mencetak. Pembangkit nomor acak

20.Mendukung file dengan ukuran yang lebih dari 4 GB. Sangat cepat. Mudah digunakan. Pertolongan yang selalu ada setiap saat

B. FUNGSI-FUNGSI WINHEX

1. Konteks menu direktori browser, konteks menu direktori browser memung- kinkan pengguna untuk langsung berinteraksi dengan file / direktori yang

sedangdipilih, terutama yang bukan item ditag.

2. Konteks menu jendela Case Data, adalah jendela yang diguanakan untuk berinteraksi dengan file kasus baik membuka file kasus yang telah dibuat ataupun membuat baru :

 Restore image, Pilih image yang ingin kamu pulihkan, yaitu sektor yang kamu ingin salin kembali ke media asli atau beberapa media lainnya, atau pilih cadangan berkas WinHex (.whx) yang isinya kamu ingin kembalikan .

 Print, Gunakan perintah ini untuk mencetak file, sektor disk atau isi RAM.

 Properties, Memungkinkan Anda mengedit ukuran, waktu yang tertera dan atribut dari sebuah file atau direktori dalam sistem Windows Anda sendiri.

 Open directory, Membuka jendela yang mewakili sebuah direktori di komputer Anda sendiri dan memungkinkan Anda untuk melihat semua file dan subdirektori.

 Open files, Perintah ini digunakan membuka beberapa file yang memenuhi persyaratan khusus pada suatu waktu. Pilih folder di mana untuk membuka file.

 Exit, perintah ini digunakan untuk mengakhiri Winhex.

B. Menu Edit

 Undo, membalikkan modifikasi terakhir.

 Copy Block

1. Normally : Menyalin arus blok / seluruh file / sektor saat ini ke clipboard. Selanjutnya isi clipboard dapat disisipkan atau ditulis.

2. As Unicode : Secara khusus menyalin teks dari kolom teks sebagai UTF-16 Unicode bahkan ketika kolom teks tidak ditampilkan dalam Unicode, atau secara khusus sebagai teks ANSI-dikodekan bahkan ketika kolom teks tidak ditampilkan sebagai ANSI ASCII.

3. Into New File : menyalin data langsung ke file baru (tidak melalui clipboard).Misalnya, perintah ini dapat digunakan untuk memulihkan file yang hilang dari sektor disk.

5. Editor Display : menyalin data sebagai teks, memformat seperti ketiak itu ditampilkan dalam hex editor, yaitu dengan offset, hex dan kolom teks.

6. Grep Hex: Menyalin data sebagai nilai-nilai hex dalam sintaks grep.

7. Pascal Source: Salinan data sebagai sumber kode di format C / Pascal ke dalam clipboard.

 Clipboard data, Menyisipkan isi clipboard dari posisi file saat ini . Data berkas pada posisi ini mengikuti bergerak maju.

 Paste zero bytes,Gunakan perintah ini untuk memasukkan nol byte pada posisi saat ini dari sebuah file.

 Define block, Sebuah kotak dialog yang dapat menentukan batas blok yang diinginkan. Perintah ini juga dapat diterapkan untuk semua file yang terbuka.

 Select all, Mendefinisikan awal dan akhir file saat ini sebagai batas blok-nya.

C. Menu Search

 Find text, Perintah ini digunakan untuk mencari string tertentu hingga 100 karakter ASCII dalam arus berkas, disk atau RAM bagian.

 Find hex values, perintah ini digunakan untuk mencari urutan hingga 100 dua-karakter nilai hex.

 Replace text, Gunakan perintah ini untuk mengganti kejadian dari string yang ditentukan dengan string lain (masing-masing hingga 100 karakter ASCII).

 Replace hex values, Fungsi seperti saat perintah mengganti Text, tetapi diterapkan pada 55 urutan nilai hex (100 paling banyak).

 Integer value,Masukkan sebuah integer (dalam batas-batas yang telah ditentukan yaitu jenis datainteger64-bit). Fungsi ini mencari data dalam file saat ini, yang dapat diartikan sebagai bilangan bulat.

 Floating-point value,Fungsi ini mencari data dalam file saat ini, yang dapat diartikan sebagai nilai floating-point.

D. Menu Navigation

 Go to offset, Memindahkan posisi saat ini ke offset khusus. Biasanya ini relatif dilakukan kepada awal file (offset 0).

 Move block,perintah untuk berpindah ke blok yang ditentukan.

 Go to, berisi perintah untuk menuju ke awal atau akhir dari file, blok, halaman, atau baris.

 Mark position,Menandai posisi saat ini dan agar memungkinkan user untuk menemukan lagi nanti.

 Delete marker, menghapus tanda dari layar.

 Go to marker,Memindahkan posisi saat ini ke penanda yang ditetapkan oleh Mark Posisi.

 Position manager,merupakan fungsi untuk mengatur tentang posisi.

E. Menu View

 Text display only, Menyembunyikan kolom hex dan menggunakan jendela lebar penuh editor untuk menampilkan tek

 Character set, Memungkinkan Anda untuk memilih dari ANSI ASCII, ASCII IBM, halaman kode lain, dan menetapkan karakter Unicode untuk kolom teks.

 Hex Display only, Menyembunyikan kolom teks dan menggunakan jendela editor besar untuk menampilkan data heksadesimal.

 Record presentation, Saat mengedit data dengan ukuran yang sama maka akan tampil warna background yang berbeda,

 Show

2. Directory browser, untuk menampilkan dan menghilangkan jendela Drectory browser.

3. Data Interpreter, untuk menampilkan dan menghilangkan jendela

6. Info pane, untuk menampilkan dan menghilangkan info pane.

 Tables, menyediakan empat table konversi(Decimal/Hexadecimal,IBM ASCII,ANSI ASCII, Code page).

 Refresh view, menampilkan ulang jendela saat pengeditan.

F. Menu Tools

 Disk tools, berisi banyak perintah-perintah tentang disk.

   

 Open memory, Lihat bab "Memory Editor".

 External programs, memilih program luar untuk digunakan dalam pengoperasian winhex.

 Invoke X-ways trace, Tersedia hanya jika X-ways Trace diinstal. Perangkat lunak ini dapat menganalisis file history / cache dari berbagai browser Internet.

 Hex converter, Memungkinkan Anda untuk mengkonversi angka heksadesimal menjadi angka desimal dan sebaliknya.

 Analyze block, kelompokkan data dalam blok saat ini / seluruh file dan menghitung kejadian dari setiap nilai byte (0 ... 255).

 Computer hash, Menghitung salah satu checksum berikut / mengamnil seluruh file saat ini, disk, atau blok yang sedang dipilih: 8-bit, 16-bit, 32-bit, 64-bit checksum, CRC16, CRC32, MD5, SHA-1, SHA -256, atau PSCHF.

G. Menu Specialist

 Technical details report, Menampilkan informasi tentang disk atau file yang aktif dan memungkinkan untuk menyalinnya. mis ke dalam laporan Anda menulis.

 Gather free space, membalikkan logical drive yang sedang terbuka dan mengumpulkan semua cluster yang tidak terpakai dalam file tujuan yang kamu tentukan.

 Gather slack space, Mengumpulkan ruang sepi (byte tidak digunakan di cluster terakhir setiap semua grup cluster, melewati akhir sebenarnya dari file) dalam file tujuan.

 Gather text, Mengenali teks sesuai dengan parameter yang Anda tentukan dan menangkap semua kejadian dari sebuah file, disk, atau berbagai memori dalam file.

 Bates number files, Bates-number semua file dalam folder tertentu dan subfolder untuk penemuan dan pembuktian.

 Trusted download, untuk masalah keamanan dimana saat mentransfer file dari hard drive yang tidak diketahui ke media yang tidak diketahui agar tidak ada file tersembunyi pada file ketika melakukan transfer.

 Highlight free space, Menampilkan offset dan data dalam warna pada area drive yang kosong.

 Highlight slack space, Menampilkan offset dan data dalam warna pada area drive yang longgar.

H. Menu Options 

 Viewer programs, untuk mengatur program yang digunakan untuk menampilkan data.

 Undo, pengaturan untuk memilih mengembalikkan seperti semula dengan mengikuti syarat yang ditentukan.

 Edit mode, untuk memilih mode pengeditan.

I. Menu Window

 Window manager, Menampilkan semua jendela data dan memberikan fungsi " jendela penggantian instan ". kamu juga mungkin untuk menutup jendela dan menyimpan perubahan.

 Save arrangement as project, Menulis jendela saat ini (open case , jendela open data, posisi jendela data pada layar, posisi kursor di jendela data, pemilihan blok, dll) ke dalam file proyek.

 Close all, Menutup semua jendela data dan dengan demikian semua file yang terbuka, disk dan bagian RAM.

 Close all without Prompting, menutup semua jendela data dan dengan demikian semua file yang dibuka dan disk tanpa memberikan Anda kesempatan untuk menyimpan perubahan data di semua jendela mereka, tanpa meminta Anda untuk setiap jendela data yang memiliki perubahan.

 Tile vertically, Mengatur jendela data dengan cara vertikal.

 Arrange Icons, Perintah ini untuk menyusun rapi semua jendela Data diminimalkan dalam jendela utama.

J. Menu Help

 Contents, Menampilkan isi dari program bantuan.

 Register, untuk mendaftarkan user untuk mendapatkan lisensi tertentu.

4. Data interpreter, adalah jendela yang menawarkan kemungkinan untuk mengartikan data pada cursor saat ini

5. Info pane, berisi semua info – info yang berkaitan dengan file yang terbuka.

6. Jendela offset, heksadecimal, dan text, merupakan jendela yang digunakan untuk melihat dan mengedit offset,heksadecimal dan text

7. Toolbars, berisi tools shortcut untuk melakukan berbagai macam fungsi umum.

Dari kiri ke kanan New, Open, Save sectors, Create disk Image, Print, Properties, Open directory.

Dari kiri ke kanan Undo, Copy blok, Paste, Write clipboard, dan Modify data.

Dari kiri ke kanan Simultaneous search, Find text, Find hex values, Replace text dan Replace hex values.

Dari kiri ke kanan Go to offset, Go to sector, Back dan Forward.

Dari kiri ke kanan Open disk, Clone disk, Open memory, Calculator, Analyze block, Refine volume snapshot, Mount as Drive letter and etc.

Dari kiri ke kanan General options, Directory browser, One column less and one column more.

8. Status bar, berisi info tentang posisi sector , offset, blok dan ukuran pada posisi yang dipilih pada jendela offset.

Contoh penggunaan Winhex :

Merecovery file jika tidak diketahui tempat lokasinya. 1.Pertama klik Menu Tools -> Open disk

2.Selanjutnya pilih dan klik Drive yang diinginkan baik Physical drive ataupun Logical drive.

4. Selanjutnya pilih jenis type file, ketik pada kolom file name prefix jika nama file diketahui, pilih tempat penyimpanan file yang terecovery lalu klik ok.

5. Tunggu hingga proses selesai.

6. Jika ditemukan file terhapus maka akan ditampilkan pada jendela pop up.

5. Info pane, berisi semua info – info yang berkaitan dengan file yang terbuka.

6. Jendela offset, heksadecimal, dan text, merupakan jendela yang digunakan untuk melihat dan mengedit offset,heksadecimal dan text

7. Toolbars, berisi tools shortcut untuk melakukan berbagai macam fungsi umum.

Dari kiri ke kanan New, Open, Save sectors, Create disk Image, Print, Properties, Open directory.

Dari kiri ke kanan Undo, Copy blok, Paste, Write clipboard, dan Modify data.

Dari kiri ke kanan Simultaneous search, Find text, Find hex values, Replace text dan Replace hex values.

Dari kiri ke kanan Go to offset, Go to sector, Back dan Forward.

Dari kiri ke kanan Open disk, Clone disk, Open memory, Calculator, Analyze block, Refine volume snapshot, Mount as Drive letter and etc.

Dari kiri ke kanan General options, Directory browser, One column less and one column more.

8. Status bar, berisi info tentang posisi sector , offset, blok dan ukuran pada posisi yang dipilih pada jendela offset.

Contoh penggunaan Winhex :

Merecovery file jika tidak diketahui tempat lokasinya. 1.Pertama klik Menu Tools -> Open disk

2.Selanjutnya pilih dan klik Drive yang diinginkan baik Physical drive ataupun Logical drive.

4. Selanjutnya pilih jenis type file, ketik pada kolom file name prefix jika nama file diketahui, pilih tempat penyimpanan file yang terecovery lalu klik ok.

5. Tunggu hingga proses selesai.

6. Jika ditemukan file terhapus maka akan ditampilkan pada jendela pop up.