MAKALAH PENGANTAR FORENSIK TEKNOLOGI INF
MAKALAH PENGANTAR FORENSIK TEKNOLOGI
INFORMASI
(OS FORENSICS)
DISUSUN OLEH KELOMPOK 4 :
MUH. ALHAADI BACHTIAR (162206)
ASNITA (162213)
JIFKI (162194)
SYAHRIR TAHIR (162201)
MUHAMMAD RIJAL PARDI (162224)
MUHAMMAD NOPRIANDI ASYHARI (162219)
MUH. AGUNG INDIARTO (122239)
JURUSAN TEKNIK INFORMATIKA
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN
KOMPUTER DIPANEGARA MAKASSAR
2017
KATA PENGANTAR
Alhamdulillah Puji syukur kami panjatkan kehadirat Allah Yang Maha
Esa karena berkat rahmatnya serta taufik dan hidayah-Nya kami dapat
menyelesaikan makalah tentang OS Forensik yang merupakan sebuah suatu
tujuan impelentasi dari pembelajaran pengantar digital forensic. Serta juga
kami berterima kasih pada Bapak erfan hasmin selaku Dosen matakuliah
pengantar forensik yang telah memberikan tugas ini kepada kami.
Harapan kami ialah agar makalah ini dapat berguna dalam rangka
menambah wawasan kepada pembaca, dan juga bagaimana cara agar
mempelajari OS Forensik dapat di pahami. Disamping dapat dijadikan
referensi dalam melakukan aktivitas pembelajaran lain menyangkut sekitar
aplikasi OS Forensik ini.
Semogah makalah ini dapat dipahami, dan memiliki daya guna bagi
pembacanya. Maka dari pada itu kami mohon maaf apabila terdapat kesalahan
kata-kata yang kurang berkenan.
Makassar,
June 2017
Penyusun
DAFTAR ISI
Kata pengantar ………………………………………………..
i
Daftar isi ………………………………………………………
ii
A. OverView OS Forensik …………………………………….
1
B. Cara install OS Forensik pada windows ……………………
3
C. Fitur OS Forensik …………………………………………..
7
D. Pembahasan fitur OS Forensik ……………………………..
10
E. Kesimpulan …………………………………………………
52
ii
A. Overview OSForensics
OS Forensik adalah perangkat lunak serbaguna atau komputer forensik suite
lengkap yang dibuat oleh PassMarkSoftware. OSForensics memungkinkan Anda
mengekstrak bukti forensik dari komputer cepat dengan mencari file yang kinerja
tinggi dan kemampuan pengindeksan cepat. Pengguna dapat mengidentifikasi file
yang mencurigakan dan aktivitas dengan pencocokan hash, mendorong
perbandingan tanda tangan, e-mail, memori dan data biner. OSForensics
memungkinkan pengguna untuk mengelola investigasi digital mereka dan
membuat laporan dari data forensik yang dikumpulkan.
OS FORENSIK juga adalah aplikasi forensic untuk penempatan dan analisis bukti
digital yang ditemukan di system computer dan tempat penyimpanan digital. Ada
beberapa tool dalam OS Forensik yang dapat identifikasi material bukti digital
dalam beberapa detik.
Tidak seperti banyak program komputer forensik lainnya, OSForensics termasuk
kemampuan imaging, penampil registry, seorang kolektor memori RAM,
peramban file sistem dan banyak fitur lainnya, semua dalam satu alat. OSForensic
juga dapat diinstal dan berlari dalam kapasitas penuh dari USB thumbdrive.
OSForensics datang dalam dua jenis lisensi: versi gratis dan versi Professional.
Versi gratis adalah fitur terbatas.
1
Beberapa fitur termasuk: Browse VSC ini, Recoverfile dihapus, data mengukir,
Indexing, Sistem File Browser, FileViewer, Email Viewer, RawDiskViewer, Web
Browser, Lihat .ese DB SQLite Browser, Gambar drive, Gunung Gambar,
Kegiatan Terbaru , PrefetchViewer, Event Log Viewer, RegistryViewer,
passwordExtractor, CustomHashSets Manajemen Kasus, Sistem Informasi,
Gambar HPA / DCO, Laporan HTML, RebuildArray RAID, ThumbcacheViewer,
TimelineViewer, RAM Gambar, MemoryViewerSignatureSnapshots, Signature
perbandingan, Forensik Copier, Install untuk USB.
OSForensics Bersertifikat Pemeriksa (OCE) - Perusahaan ini menawarkan kursus
pelatihan online untuk mempersiapkan siswa untuk mengambil dan lulus tes
OSForensics sertifikasi untuk mencapai OSForensics Bersertifikat Pemeriksa
(OCE) penunjukan.
PassMark® SoftwarePty Ltd adalah grup pengembangan perangkat lunak milik
pribadi dengan kantor pusat di Sydney, Australia dan kantor cabang di California,
Amerika Serikat.
PassMark mengkhususkan diri dalam pengembangan solusi kinerja benchmarking
kualitas tinggi serta memberikan jasa konsultasi TI independen ahli untuk klien
mulai dari organisasi pemerintah untuk kelas berat IT besar. PassMarkSoftware
adalah otoritas terkemuka dalam perangkat lunak dan perangkat keras
benchmarking kinerja dan pengujian.
Sejak awal mereka pada tahun 1998, PassMarkSoftware telah mengembangkan
berbagai komprehensif patokan dan diagnostik solusi PC yang digunakan di
seluruh dunia oleh ratusan ribu pengguna. Mereka telah mengalami pertumbuhan
yang konsisten dalam penjualan sejak peluncuran produk pertama mereka di bulan
Mei 1999.
2
Kakak mereka perusahaan, Wrensoft , telah mengembangkan sebuah perusahaan
mesin pencari kuat yang dikenal sebagai Zoom SearchEngine untuk digunakan
pada situs web perusahaan dan katalog CD. Zoom tetap populer dengan
masyarakat web sebagai, solusi kinerja tinggi biaya yang efektif untuk
menambahkan fungsi pencarian tanpa batas ke situs web bisnis.
PassMarkSoftware juga mengelola situs CPU patokan terbesar di dunia,
cpubenchmark.net. Situs ini memberikan pengguna akses ke hasil CPU patokan
untuk lebih dari 600.000 sistem yang mencakup lebih dari 1200 jenis CPU.
B. Cara Menginstall OS Forensik pada windows :
1. Klik untuk open file application
2. Centang “ I accept the agreement “, lalu klik next
3
3. Lalu pilih lokasi untuk menginstall aplikasi, kemudian klik next
4. Memilih untuk create nama dari program shortcut, klik next
4
5. Centang untuk dapat membuat ikon shortcut pada desktop, kemudian klik next
6. Klik install untuk menginstall aplikasi pada windows
7. Tunggu hingga instalasi selesai
5
8. Setelah instalasi selesai hanya tinggal info mengenai aplikasi, lalu klik
next, lalu klik centang launch OS Forensik untuk menjalankan aplikasi,
lalu klik finish
6
C. FITUR OS FORENSIK
OSForensics berisi kumpulan modul untuk mencari, mengumpulkan,
menganalisis dan memulihkan artefak digital yang dapat digunakan sebagai
bukti hukum di pengadilan.
Tampilan Interface program OS FORENSIK
Fitur utama dari OSForensics diuraikan sebagai berikut:
a. Manajemen kasus
Modul ini digunakan untuk hasil agregat dari semua modul lain dalam satu
lokasi, Kasus, memungkinkan untuk analisis nanti temuan secara keseluruhan dan
pelaporan temuan
b. File Name Search
Modul ini untuk pencarian file, folder melalui nama file
c. Indexing
Indexing memungkinkan untuk teks lengkap mencari di dalam isi sebuah
file. Juga mampu mencari di dalam arsip email dan menarik teks dari sektor
disk yang tidak terisi.
7
d. Recent Activity
Modul ini memungkinkan penyidik untuk memindai sistem untuk bukti
aktifitas terbaru, seperti situs diakses, USB drive, jaringan nirkabel, dan
download terbaru.
e. Delete File Search
Mencari dan memulihkan file yang telah baru-baru ini dihapus dari hard drive.
f. Mismatch Search menemukan file yang memiliki ekstensi file yang berbeda
dari apa isi dari file menyarankan. Misalnya. Sebuah file .jpeg diubah
namanya menjadi file txt.
g. Memory Viewer
Penampil memori memungkinkan penyidik untuk mengumpulkan dan
menganalisis bukti digital dalam penyimpanan memori volatile.
h. Prefetch Viewer
Prefetch penampil menampilkan informasi yang disimpan oleh sistem
operasi Prefetcher, yang meliputi kapan dan seberapa sering aplikasi
dijalankan.
i. Raw Disk Viewer
Disk penampil baku menampilkan isi baku sektor-by-sektor disk. Data
tersembunyi di sektor luar sistem file dapat diidentifikasi dan dianalisis dengan
modul ini.
j. File System Browser
Sistem file browser yang menampilkan semua perangkat ditambahkan ke
kasus secara hirarkis, mirip dengan Windows Explorer. Tidak seperti Explorer,
informasi tambahan khusus untuk analisis forensik akan ditampilkan.
k. SQLite Database Browser
Database SQLite Browser menampilkan isi dari file database SQLite
dengan cara yang terorganisasi, yang memungkinkan untuk kemudahan
navigasi dan mencari.
8
l. Web browser menyediakan penampil web dasar dengan kemampuan
forensik. Ini termasuk kemampuan untuk menyimpan menangkap layar dari
halaman web dan menambahkannya ke kasus yang sedang dibuka.
m. Password Recovery
Memulihkan password dari berbagai sumber.
n. Verifikasi / Buat Hash
Buat hash (SHA1, MD5, CRC32) dari file atau seluruh hard disk.
9
D. Pembahasan fitur OS Forensik
1. CASE MANAGEMENT
Case Management :
Create Case :
berfungsi
untuk
memulai/membuat
kasus
baru
untuk
mengelompokkan semua pencarian melalui fitur-fitur yang berbeda di
OSForensics.
Mengklik tombol kasus baru akan memungkinkan Anda untuk
menghasilkan kasus kosong baru di mana untuk mengumpulkan data dalam.
Sebuah kasus harus memiliki nama, dan mungkin memiliki penyidik terkait
meskipun hal ini tidak diperlukan.
Secara default kasus yang dibuat seperti dalam folder OSForensics
terletak di folder My Documents pengguna. Pada penciptaan sub folder akan
dibuat di lokasi target yang akan berisi kasus, tidak ada kebutuhan untuk
memilih folder kosong.
Cara menggunakannya :
Startcreate case
Isi data pada jendela yang muncul
Case name : nama kasus
Investigator : nama penyelidik
Organization : nama organisasi atau instansi
Contact details : isikan informasi contact yang valid.
Timezone : wilayah waktu anda
Acquisition type : menetukan alat yang akan dipakai
Case folder tempat pengimpanan kasus.
Setelah itu klik OK.
10
Screenshoot :
11
Import Case : berfungsi untuk mengimport kasus sebelumnya untuk
dilanjutkan.
Cara menggunakannya :
Start Pilih import
Kemudian browse folder case yang akan di import
Klik ok.
Screenshoot :
Pada manajemen kasus dapat digunakan untuk membuat dan mengelola
kasus. Kasus digunakan untuk mengelompokkan temuan dari fungsi lainnya
dalam satu lokasi yang dapat diekspor atau disimpan untuk analisis nanti.
Sebuah kasus baru harus dibuat, atau kasus sebelumnya dimuat, sebelum ada
12
kemungkinan untuk menambahkan item ke kasus dari fungsi lain.
Load Case
Beban kasus yang saat ini dipilih dari daftar. Anda juga dapat cukup klik
ganda dalam daftar untuk melakukan tindakan yang sama.
Delete Case
Menghapus kasus yang sedang dipilih. Pengguna diberikan pilihan untuk
backup data kasus ke lokasi yang ditentukan sebelum menghapus.
2. CASE MANAGER
Edit Case Details
Mengedit properti (nama misalnya., Penyidik, zona waktu, pilihan
logging) dari kasus tersebut.
Generate Report
Membuat laporan HTML dari isi kasus ini. Laporan ini ditata
menggunakan template, OSForensics memiliki sejumlah dibangun di template
untuk memilih dari, namun Anda juga dapat membuat template kustom Anda
sendiri. Memilih "Informasi tambahan" pilihan akan menampilkan lebih kolom
dalam laporan (SHA1 dan SHA256 hash, tanggal terkait untuk file dan email).
13
Cara menggunakannya :
Start Pilih Generate Report
Kemudian akan muncul jendala export report, klik ok.
Kemudian akan muncul laporan dalam bentuk HTML pada jendela browser.
Screenshoot :
14
View Log
Jika penebangan diaktifkan untuk kasus ini, membuka penampil log untuk
melihat entri log. Berfungsi untuk menampilkan aktivitas kejadian dalam bentuk
log.
Cara menggunakannya :
Start Pilih View Log
Kemudian akan tampil Jendela Case activity log, pilih save.
Screenshoot :
15
Add Attachment
Menambahkan file generik dengan kasus sebagai lampiran.
Add Note
Menambahkan catatan untuk kasus sebagai file teks.
Add Device
Menambahkan perangkat penyimpanan untuk kasus untuk analisis.
Case Activity Log
Ketika melakukan penyelidikan forensik, penting untuk menjaga jejak
audit dari kegiatan yang tepat dilakukan selama investigasi untuk beberapa
tujuan termasuk yang berikut:
a.
Pembekalan dari penyelidikan selesai
b.
Audit kegiatan penyelidikan untuk menentukan apakah prosedur yang
tepat dan protokol diikuti
c.
Mendidik dan mengevaluasi penyelidik dalam pelatihan
OSForensics memberikan pilihan untuk menentukan apakah kegiatan yang
dilakukan dalam kasus ini harus secara otomatis login ke file log tamperresistant pada disk, menghasilkan jejak semua kegiatan yang dilakukan selama
penyelidikan.
Enable/Disable Logging
Logging dapat diaktifkan / dinonaktifkan saat membuat kasus untuk pertama
kalinya atau saat mengedit kasus yang sudah ada di jendela Manajemen Kasus
16
Viewing the Log
Setelah log diaktifkan, log dapat dilihat dengan mengklik tombol "Lihat
Log" di jendela kasus manajemen, serta "Lihat Log" ikon dalam kelompok
"Manajemen Kasus" di bawah tab Start.
17
a. Major - Termasuk semua aktivitas utama yang berhubungan dengan kasus itu
sendiri, seperti ketika pertama kali diciptakan.
b. Minor - Termasuk mulai / selesai semua aktivitas forensik yang signifikan,
seperti nama file pencarian, pembuatan indeks, menghapus file pencarian, dll
c. Info - Termasuk semua aktivitas forensik tambahan dilakukan, seperti
mengekspor hasil ke disk, menambahkan file kasus, dll
d. Detail - Termasuk rincian subtasks yang sedang dieksekusi secara internal
sementara operasi forensik besar sedang dilakukan.
3. FILE NAME SEARCH
File name service digunakan untuk mencari nama-nama file dan folder
yang cocok dengan pola pencarian tertentu.
18
File Name search : berfungsi untuk mencari file disebuah direktory.
Cara menggunakannya :
Start Pilih File Name search
Isi search string dan start folder,
Kemudian klik search.
Note :
Search string : nama file yang akan dicari.
Presets : menentukan jenis data yang akan dicari
Start Folder : menetukan partici atau directory tempat file berada.
File list : daftar file yang ditemukan
19
Thumbnails : keterangan dari file
Timeline : waktu file dibuat terakhil kali.
Screenshoot :
20
4. INDEXING
Indexing memungkinkan Anda untuk mencari di dalam isi banyak file
sekaligus. Berbeda dengan modul pencarian lain yang hanya memeriksa nama
file dan kriteria permukaan lainnya, pengindeksan memungkinkan Anda untuk
melakukan pencarian jauh di dalam isi dokumen PDF, Word, E-mail, meta
data gambar dan banyak lagi.
Untuk melakukan ini, Anda harus terlebih dahulu membuat indeks untuk
set file yang ingin memeriksa. Ini adalah proses menyeluruh yang memindai
dan menganalisa file dan membangun indeks (menganggap itu sebagai versi
yang lebih canggih dari apa yang akan Anda temukan di bagian belakang
buku), yang kemudian dapat digunakan untuk melakukan pencarian di.
a. Create Index
Modul yang melakukan indeks generasi awal yang dibutuhkan untuk
pencarian berbasis indeks
b. Search index
Modul yang melakukan pencarian berbasis indeks menggunakan file indeks
yang dibuat melalui modul Buat Index.
Create Index
berfungsi untuk membuat index dari data data yang ada pada directory
agar dengan mudah dapat dicari.
Cara menggunakannya :
Start Pilih File Name search
Di step 1 pilih type file yang akan dicari
Step 2 pilih lokasi yang akan dicari
Step 3, isikan judul dan note indexnya
Kemudian klik start indexing
Step 4, diproses
Step 5,dalam pemrosesan dan tunggu sampai seslesai.
21
Note :
Use Pre-defined file types : memilih tipe atau jenis file yang akan dibuat
index pade sebuah direktory secara otomatis.
Use costum template (advanced) : membuat index dengan tempelate secara
manual.
Dalam langkah ini Anda harus memilih jenis file yang ingin Anda indeks.
Anda dapat memilih antara satu set standar dari jenis file atau Anda dapat
menentukan opsi pengindeksan lebih maju melalui template. Secara umum,
jenis file lebih yang dipilih, lebih lama dan lebih memakan proses
pengindeksan sumber daya akan mengambil.
22
Pada langkah ini, Anda akan sebutkan mulai direktori mana
OSForensics akan memindai file ke indeks. Klik tombol 'Add' untuk
menentukan lokasi awal yang ingin Anda tambahkan ke dalam daftar:
23
Pada langkah ini, Anda akan perlu untuk memasukkan rincian untuk
indeks ini akan ditambahkan ke kasus ini. Jika Anda tidak memiliki kasus
terbuka, Anda akan diminta untuk membuat / membuka satu sebelum pindah
ke langkah berikutnya. Langkah ini memungkinkan Anda untuk menentukan
judul dan catatan untuk indeks Anda yang akan disimpan dalam kasus ini.
Selama tahap ini, OSForensics akan melakukan scan awal dari lokasi dan file
yang telah Anda tentukan untuk menetapkan batas untuk proses pengindeksan.
Jika Anda telah mengatur secara manual batas-batas ini dalam pilihan
pengindeksan maju, maka langkah ini akan dilewati. Kecuali kesalahan dalam
langkah ini, akan segera beralih ke tahap akhir di mana indeks dimulai.
24
Indeks ini sekarang sedang dibuat. Proses ini dapat mengambil waktu yang
cukup lama tergantung pada opsi yang dipilih. Untuk melihat log secara realtime saat pengindeksan sedang dilakukan, klik 'Open Log ...' untuk
memunculkan jendela log seperti yang ditunjukkan di bawah ini.
25
Search Index
Modul Index Pencarian melakukan pencarian yang sebenarnya
menggunakan indeks yang dihasilkan melalui modul Buat Index. Berbeda
dengan File Name Search, isi dari file yang dicari (sebagai lawan hanya nama
file) untuk kata-kata pencarian yang ditentukan pengguna.
26
Match
Pengguna dapat memilih apakah hasilnya akan cocok dengan kata-kata
atau semua kata-kata dalam string pencarian
Maximum Results
Menentukan jumlah maksimum hasil untuk menampilkan
Date Range
Jika 'Gunakan Rentang Tanggal' dicentang, memungkinkan pengguna
untuk menyaring hasil untuk menyertakan hanya file dalam rentang tanggal
yang ditentukan.
Email Search Options
Memungkinkan pengguna untuk menyaring hasil e-mail pencarian untuk
mereka yang cocok dengan 'Dari', 'To' dan bidang 'CC'
27
5. RECENT ACTIVITY
Modul scan sistem untuk bukti aktifitas terbaru, seperti situs diakses,
program yang diinstal, USB drive, jaringan nirkabel, dan download terbaru.
Hal ini sangat berguna untuk mengidentifikasi tren dan pola pengguna, dan
materi yang telah diakses baru-baru ini.
Scan untuk aktifitas terbaru dapat dimulai dengan hanya menekan tombol Scan.
Pengaturan berikut tersedia untuk pengguna
6. DELETE FILE SEARCH
Modul dapat digunakan untuk memulihkan file dihapus dari sistem file
(file yaitu. Dihapus tidak lagi di daur ulang bin). Hal ini sangat berguna untuk
memulihkan
file
yang
pengguna
menghancurkan.
28
mungkin
telah
berusaha
untuk
7. MISMATCH FILE SEARCH
Modul dapat digunakan untuk mencari file yang isinya tidak cocok
ekstensi filenya, dalam kata lain file-file yang tidak bisa dibuka secara default
atau rusak.Modul ini dapat mengungkap upaya untuk menyembunyikan file
dengan nama file palsu dan ekstensi dengan memverifikasi apakah format file
yang sebenarnya cocok format file yang diinginkan berdasarkan ekstensi file
Cara menggunakannya :
Start Mismatch file search
Start folder : menentukan folder atau direktory yang dipilih untuk di scan.
Filter : untuk menentukan mode scan yang diterapkan.
29
8. MEMORY VIEWER
modul memungkinkan pengguna untuk melihat rincian memori dari semua
proses yang sedang berjalan pada sistem. Tidak seperti hard disk non-volatile
yang dapat dianalisis statis, isi memori (RAM) hanya dapat dianalisis
sedangkan sistem ini hidup. Selain itu, mungkin yang berpotensi melibatkan
bukti hanya ada di memori fisik sistem, tanpa jejak pada hard disk. Hal ini
rumit lebih lanjut jika data hanya ada di memori untuk jangka waktu singkat.
Dan juga berfungsi untuk menampilkan penggunaan memori dari aplikasi
yang sedang berjalan.
Cara Menggunakannya :
Start Memori viewer
Akan muncul jendela warning
Klik centang dan klik ok.
Note :
Process info : menampilakan informasi tentang aplikasi yang dipilih dan
penggunaan memorinya.
Memori space : menampilkan penyimpanan yang digunakan aplikasi.
Memory layout : berfungsi untuk menampilkan penggunaan memory.
30
9. PREFETCH VIEWER
Modul Prefetch Viewer memungkinkan pengguna untuk melihat
informasi forensik berpotensi berharga disimpan oleh sistem operasi
Prefetcher. The Prefetcher adalah komponen yang meningkatkan kinerja
sistem dengan aplikasi pre-caching dan file terkait ke dalam RAM,
mengurangi akses disk. Untuk memfasilitasi hal ini, Prefetcher mengumpulkan
aplikasi rincian penggunaan seperti jumlah kali aplikasi telah dieksekusi, saat
run terakhir, dan setiap file yang menggunakan aplikasi saat berjalan. Dengan
menggunakan informasi ini, forensik peneliti dapat mengungkap pola
penggunaan aplikasi tersangka (misalnya. "Cleaner" perangkat lunak yang
digunakan baru-baru ini) dan file yang telah dibuka (misalnya. Dokumen).
31
Fungsi selanjutnya adalah untuk menampilan sampah dari hasil membuka
aplikasi. Dengan menggunakan informasi ini, forensik peneliti dapat menentukan
pola penggunaan aplikasi tersangka.
Cara Menggunakan :
Start Prefetch viewer
Note :
Drive : menentukan drive mana yang dipilih untuk di scan.
Mapped : menampilakan file yang ditemukan.
Mapped direktories : menampilan directory dari file yang di pilih.
32
10. RAW DISK VIEWER modul memungkinkan pengguna untuk
menganalisis sektor baku semua perangkat ditambahkan ke kasus, bersama
dengan semua disk fisik dan partisi (termasuk gambar dipasang) yang melekat
pada sistem. Modul ini menyediakan kemampuan untuk melakukan
pemeriksaan lebih dalam drive, mencari di luar data yang disimpan dalam file
sistem file dan direktori. Pertunjukan tingkat analisis mungkin diperlukan jika
informasi yang menarik diduga disembunyikan dalam sektor baku drive, yang
biasanya tidak dapat diakses melalui mekanisme normal sistem operasi
(misalnya. Cluster gratis, ruang file slack).
Cara Menggunakannya :
Start Raw Disk Viewer
11. REGISTRY VIEWER
OSForensics termasuk yang dibangun di penampil registry untuk
menampilkan isi dari file sarang registri dan memiliki pilihan untuk menyalin
nama nilai, data dan untuk mengekspor kunci registri dan sub kunci mereka ke
file teks.
33
Cara Menggunakannya :
Start Registry viewer.
Pilih Drive atau browse file.
Pilih file yang akan dibuka
Klik ok.
12. FILE SYSTEM BROWSER
File system browser memberikan pandangan explorer-seperti dari semua
perangkat yang telah ditambahkan untuk kasus ini. Tidak seperti windows
explorer, file system browser ini mampu menampilkan informasi forensik
khusus tambahan, serta memungkinkan analisis yang akan dilakukan dengan
menggunakan alat yang terintegrasi osforensics
Cara Menggunakannya :
Start File and Hex Viewer
Pilih file , klik open.
34
Sreenshoot :
13. SQLITE DATABASE BROWSER
modul Browser memungkinkan pengguna untuk menganalisis isi dari file
database SQLite. berfungsi untuk menampilakan database SQL
Cara Menggunakannya :
Start File and Hex Viewer
Klik Load DB
35
Akan muncul jendela baru, pilih folder yang akan dibuka
Klik open.
36
14. WEB BROWSER
Modul Web Browser menyediakan penampil web dasar dari dalam
OSForensics. Modul ini menambahkan kemampuan untuk memuat halaman
web dari web dan menyimpan menangkap layar dari halaman web dengan
kasus dibuka saat ini.
Cara Menggunakannya :
Start Web Browser
Kemudian ketikkan alamat web yang akan dituju.
Tekan enter.
15. RECOVERY PASSWORD
Find Browser Passwords
Mengambil password yang telah diingat oleh browser web pada sistem.
37
Windows Login Passwords
Mengambil password login dan hash untuk pengguna sistem. hash diambil
dapat digunakan bersama dengan tabel pelangi untuk menemukan password.
Rainbow Tables
Menggunakan tabel pelangi untuk melakukan reverse lookup pada hash
password.
16. SYSTEM INFORMATION
Modul Sistem Informasi memungkinkan pengambilan informasi rinci
tentang komponen inti dari sistem. Modul ini dilengkapi dengan built-in daftar
tes tes yang dapat mengambil rincian inti tentang sistem seperti;
a. CPU, Motherboard and Memory
b. BIOS
c. Video card/Display devices
d. USB controllers and devices
e. Ports (Serial/Parallel)
f. Network adapters
g. Physical and Optical Drives
Cara Menggunakannya :
Start System Information
Pilih list dan klik go.
38
17. VERIFY / CREATE HASH
Verifikasi / Buat modul Hash digunakan untuk memverifikasi integritas
file dengan menghitung nilai hash-nya. Hal ini juga dapat digunakan untuk
membuat hash dari seluruh partisi atau disk drive fisik atau string teks
sederhana.
39
18. HASH SETS
Set hash memungkinkan penyidik untuk dengan cepat mengidentifikasi
dikenal file aman (seperti Sistem Operasi dan file program) atau dikenal
diduga file (seperti virus, trojan, script hacker) untuk mengurangi kebutuhan
untuk analisis memakan waktu lebih lanjut. Set hash digunakan dalam teknik
analisis data yang disebut Analisis hash, yang menggunakan MD5, SHA1 dan
SHA256 hash dari file untuk memverifikasi file pada perangkat penyimpanan.
Sebuah hash unik mengidentifikasi isi dari file, terlepas dari nama file.
Dengan kata lain, setiap dua file dengan hash yang sama dikatakan sama.
Sebuah koleksi nilai hash ini membentuk satu set hash, yang dapat digunakan
untuk mengurangi waktu yang dibutuhkan untuk mencari media penyimpanan
untuk file tertentu yang menarik. Secara khusus, file yang dikenal aman atau
terpercaya dapat dihilangkan dari pencarian berkas. Hash set juga dapat
digunakan untuk mengidentifikasi keberadaan berbahaya, selundupan, atau file
yang memberatkan seperti software bajakan, pornografi, virus dan file bukti.
40
1. New Hash Database : berfungsi untuk membuat sebuah hash database baru.
Biasanya berisikan kumpulan hash set, Hash set ini digunakan untuk baik
atau buruknya suatu file menggunakan MD5 dan SHA signature.
Cara Menggunakannya :
Start New Hash Database
Ketikkan Nama Database yang akan dibuat.
Klik ok.
ScreenShoot :
41
2. New Hash Set : berfungsi untuk membuat sebuah hash set baru yang
didalamnya terdapat hash database yang aktif.
42
Cara Menggunakannya :
Start New Hash Set
Isikan field yang ada dijendela new hash set
Klik Create.
Note :
Origin : File original. Tergantung ruang lingkup database ini yang bias lebih
spesifik seperti “Bill PC” or atau sebuah organisasi.
Product type : Tipe produk apa yang filenya berkaitan dengan contoh
pengolah kata,atau editor gambar.
Manufacture : Perusahaan atau orang yang membuat beberapa file tersebut.
Set type : Sebuah klasifikasi untuk set file. Contohnya baik atau buruk, dll.
OS : Sistem operasi yang berkaitan dengan file tersebut.
Set name : Nama yang akan diset untuk Hash Set.
Version : Versi dari file teserbut.
Language : Bahasa yang digunakan dalam file tersebut.
Folder : Direktori dimana mencari file yang ditambahkan di set. Semua
Folder
3. Create Hash : berfungsi untuk membuat hash atau mengubah file atau partisi
dalam bentuk hash.
Cara Menggunakannya :
Start Create Hash
Pilh File dan browse
Pilih hash function
Klik Calculate.
Note :
File : browse menggunakan file yang akan di buatkan hash nya.
Volume : untuk memlih drive yang akan di buatkan hash nya.
Text : menggunakan teks yang akan di buatkan hash nya.
Hash Fuction : untuk memilih tipe hash nya.
43
Screenshoot :
19. CREATE SIGNATURE
Module that handles all aspects of generating a signature.
Cara Menggunakannya :
Start Create Signature
Pilih folder yang akan dibuatkan signaturenya
Klik Start
Pilih Signature,kemudia klik save.
44
20. COMPARE SIGNATURE
Modul yang memungkinkan pengguna untuk membandingkan tanda
tangan yang dihasilkan sebelumnya. Ringkasan dari setiap perubahan antara
tanda tangan akan ditampilkan kepada pengguna.
Cara Menggunakannya :
Start Compare Signature
Pilih file yang akan dibuka pada old signature
Pilih file yang akan dibuka pada new signature
Klik Compare.
21. DRIVE PREPARATION
Modul ini menyediakan dua fitur yang berbeda. Pertama dapat menguji
drive untuk keandalan, berpotensi mengidentifikasi setiap drive rusak sebelum
mereka mulai digunakan aktif dalam penyelidikan. Kedua hal itu dapat
mengatur semua byte dari drive ke pola byte tertentu (dan memverifikasi pola
byte telah ditulis untuk seluruh drive), memastikan tidak ada kesempatan
kontaminasi data antara investigasi
45
22. DRIVE IMAGING
Fungsi disk imaging memungkinkan penyidik untuk membuat dan
mengembalikan file disk image, yang bitby-bit salinan dari partisi, disk fisik
atau volume. Disk imaging sangat penting dalam mengamankan salinan dari
perangkat penyimpanan, sehingga dapat digunakan untuk analisis forensik
tanpa risiko integritas data asli. Sebaliknya, file gambar dapat dikembalikan
kembali ke disk pada sistem.
Seorang penyidik forensik mungkin perlu berurusan dengan disk fisik
yang merupakan bagian dari konfigurasi RAID. Tanpa akses ke RAID
controller yang dibutuhkan untuk menciptakan array RAID, mungkin sulit
untuk merekonstruksi disk logis untuk analisis forensik. Mengingat satu set
gambar disk, OSForensics dapat membangun kembali citra logis berdasarkan
parameter RAID yang ditentukan. parameter RAID dari software RAID dibuat
di Linux dan Windows dapat secara otomatis terdeteksi.
Drive Imaging : pencitraan drive atau mengkopy drive.
Cara Menggunakannya :
Start Drive Imaging
Pilih Source Disk
Pilih Target Image File.
46
Note :
Source Disk : Lokasi penyimpanan yang akan dibuat copyan nya.
Target Image File : tempat copyan yang akan ditempati sebagai tempat save.
23. FORENSIC COPY
Salinan isi dari satu direktori ke yang lain mempertahankan cap waktu
yang sama seperti aslinya. Hal ini berguna untuk kasus-kasus di mana Anda
mungkin tidak ingin membuat image drive yang lengkap.
Log, selain pesan status umum juga akan menampilkan pesan kesalahan
tentang file yang gagal untuk menyalin. Alasan paling umum untuk kegagalan
adalah bahwa mereka dikunci oleh proses lain atau pengguna saat ini tidak
memiliki izin untuk mengaksesnya.
Cara Menggunakannya :
Start Forensic Copy
Pilih source directory
47
Pilih destination director, klik ok
Muncul warning
Klik start.
24. INSTALLING TO A USB DRIVE OR AN OPTICAL DISK
Hal ini memungkingkan untuk menginstal OSForensics ke USB drive
atau CD / DVD / BD sehingga tidak diperlukan instalasi pada sistem tes. Hal
ini dapat berguna dalam sejumlah skenario, seperti analisis lapangan tanpa
menginstal OSForensics pada sistem tes.
Ketika OSForensics adalah dijalankan dari removable drive ketika
diinstal dengan cara ini, direktori default untuk file pengguna adalah direktori
OSForensics, bukan direktori default normal direktori Dokumen pengguna.
Proses Instalasi OSForensics ke drive USB
Proses instalasi ini dapat dilakukan untuk instalasi USB drive (drive
ditulis) menggunakan menu option "Install untuk USB".
Dari Jendela "Install OSForensics ke USB drive", Anda perlu menentukan:
1. USB drive dan direktori Anda ingin menginstal OSForensics untuk.
Misalnya, "F: \ OSForensics". OSForensics akan membuat direktori jika tidak
ada.
2. Jenis instalasi. Jika Anda memiliki kunci lisensi, kemudian pilih Izin, jika
tidak pilih Evaluasi untuk masa percobaan.
48
3. Jika Anda memilih "Izin" jenis instalasi, kemudian masukkan Username /
Key;
Pilih
seluruh kunci, termasuk
----- START_OF_KEY ----- dan
END_OF_KEY ---- Cara Menggunakannya (petunjuk sederhana):
Start Removable Drive Preparation
Pilih USB yang akan di install
Plih tipe installnya
Klik install
Note :
Evaluation : tipe free OSFroensics
Licensed : tipe full version OSForensics
49
-----
Copy dan paste kunci ini ke username dan field kunci.
Ketika Anda pilih install, OSForensics akan membuat direktori pada USB
drive (misalnya F: \ OSForensics), menyalin semua file dari direktori
OSForensics (misalnya C: \ Program Files \ OSForensics) ke drive USB
(misalnya F: \ OSForensics) dan menginstal informasi lisensi ke drive USB.
25. LICENSE KEYS
Setelah membeli perangkat lunak kunci lisensi dikirimkan melalui Email. kunci lisensi ini harus dimasukkan ke dalam perangkat lunak
OSForensics. Jendela registrasi baik dapat diakses bentuk jendela diterima
dengan mengklik "Upgrade ke versi Professional" atau menggunakan "Daftar"
tombol pada side bar navigasi.
Ketika memasuki kunci lisensi, copy dan paste kunci lisensi dari Email. Melakukan copy dan paste akan menghindari kemungkinan kesalahan
pengetikan.
Find your license key
Setelah Anda telah menempatkan pesanan Anda akan menerima e-mail
yang berisi rincian tentang pesanan Anda, nama pengguna dan kunci lisensi Anda.
Seharusnya terlihat seperti ini:
50
26. ABOUT
51
E. KESIMPULAN
Di era digital modern ini bentuk kejahatan di antara social society di dunia
sangatlah canggih, tidak lagi para pelaku kejahatan menampakka diri secara fisik,
namun mereka dapat menggunakan kecanggihan teknologi digital sekarang ini,
dengan menggunakan jaringan komputer, alat elektronik, dan lain sebagainya.
Untuk itu diperlukan peralatan dan aplikasi software dan hardware untuk dapat
mengidentifikasi dan menganalisis bentuk kejahatan digital tersebut. Maka dari
itu para ahli software di seluruh dunia membuat software untuk dapat
memecahkan masalah kejahatan teknologi digital dengan berbagai fiture yang
memudahkan pengguna. Maka dari itu aplikasi OS Forensik ini adalah salah satu
software untuk dapat menangani kejahatan cybercrime dan dapat menganalisis
guna membantu penyelidikan kasus. Dari beberapa penjabaran dan penjelasan
terperinci di dalam makalah ini mengenai aplikasi OS Forensik serta petunjuk
pemakaian nya, dapat di simpulkan bahwa OS Forensik sangatlah baik digunakan
untuk menangani kasus cybercrime, dengan bnyak fitur dan memudahkan
pengguna dalam memakainya.
52
INFORMASI
(OS FORENSICS)
DISUSUN OLEH KELOMPOK 4 :
MUH. ALHAADI BACHTIAR (162206)
ASNITA (162213)
JIFKI (162194)
SYAHRIR TAHIR (162201)
MUHAMMAD RIJAL PARDI (162224)
MUHAMMAD NOPRIANDI ASYHARI (162219)
MUH. AGUNG INDIARTO (122239)
JURUSAN TEKNIK INFORMATIKA
SEKOLAH TINGGI MANAJEMEN INFORMATIKA DAN
KOMPUTER DIPANEGARA MAKASSAR
2017
KATA PENGANTAR
Alhamdulillah Puji syukur kami panjatkan kehadirat Allah Yang Maha
Esa karena berkat rahmatnya serta taufik dan hidayah-Nya kami dapat
menyelesaikan makalah tentang OS Forensik yang merupakan sebuah suatu
tujuan impelentasi dari pembelajaran pengantar digital forensic. Serta juga
kami berterima kasih pada Bapak erfan hasmin selaku Dosen matakuliah
pengantar forensik yang telah memberikan tugas ini kepada kami.
Harapan kami ialah agar makalah ini dapat berguna dalam rangka
menambah wawasan kepada pembaca, dan juga bagaimana cara agar
mempelajari OS Forensik dapat di pahami. Disamping dapat dijadikan
referensi dalam melakukan aktivitas pembelajaran lain menyangkut sekitar
aplikasi OS Forensik ini.
Semogah makalah ini dapat dipahami, dan memiliki daya guna bagi
pembacanya. Maka dari pada itu kami mohon maaf apabila terdapat kesalahan
kata-kata yang kurang berkenan.
Makassar,
June 2017
Penyusun
DAFTAR ISI
Kata pengantar ………………………………………………..
i
Daftar isi ………………………………………………………
ii
A. OverView OS Forensik …………………………………….
1
B. Cara install OS Forensik pada windows ……………………
3
C. Fitur OS Forensik …………………………………………..
7
D. Pembahasan fitur OS Forensik ……………………………..
10
E. Kesimpulan …………………………………………………
52
ii
A. Overview OSForensics
OS Forensik adalah perangkat lunak serbaguna atau komputer forensik suite
lengkap yang dibuat oleh PassMarkSoftware. OSForensics memungkinkan Anda
mengekstrak bukti forensik dari komputer cepat dengan mencari file yang kinerja
tinggi dan kemampuan pengindeksan cepat. Pengguna dapat mengidentifikasi file
yang mencurigakan dan aktivitas dengan pencocokan hash, mendorong
perbandingan tanda tangan, e-mail, memori dan data biner. OSForensics
memungkinkan pengguna untuk mengelola investigasi digital mereka dan
membuat laporan dari data forensik yang dikumpulkan.
OS FORENSIK juga adalah aplikasi forensic untuk penempatan dan analisis bukti
digital yang ditemukan di system computer dan tempat penyimpanan digital. Ada
beberapa tool dalam OS Forensik yang dapat identifikasi material bukti digital
dalam beberapa detik.
Tidak seperti banyak program komputer forensik lainnya, OSForensics termasuk
kemampuan imaging, penampil registry, seorang kolektor memori RAM,
peramban file sistem dan banyak fitur lainnya, semua dalam satu alat. OSForensic
juga dapat diinstal dan berlari dalam kapasitas penuh dari USB thumbdrive.
OSForensics datang dalam dua jenis lisensi: versi gratis dan versi Professional.
Versi gratis adalah fitur terbatas.
1
Beberapa fitur termasuk: Browse VSC ini, Recoverfile dihapus, data mengukir,
Indexing, Sistem File Browser, FileViewer, Email Viewer, RawDiskViewer, Web
Browser, Lihat .ese DB SQLite Browser, Gambar drive, Gunung Gambar,
Kegiatan Terbaru , PrefetchViewer, Event Log Viewer, RegistryViewer,
passwordExtractor, CustomHashSets Manajemen Kasus, Sistem Informasi,
Gambar HPA / DCO, Laporan HTML, RebuildArray RAID, ThumbcacheViewer,
TimelineViewer, RAM Gambar, MemoryViewerSignatureSnapshots, Signature
perbandingan, Forensik Copier, Install untuk USB.
OSForensics Bersertifikat Pemeriksa (OCE) - Perusahaan ini menawarkan kursus
pelatihan online untuk mempersiapkan siswa untuk mengambil dan lulus tes
OSForensics sertifikasi untuk mencapai OSForensics Bersertifikat Pemeriksa
(OCE) penunjukan.
PassMark® SoftwarePty Ltd adalah grup pengembangan perangkat lunak milik
pribadi dengan kantor pusat di Sydney, Australia dan kantor cabang di California,
Amerika Serikat.
PassMark mengkhususkan diri dalam pengembangan solusi kinerja benchmarking
kualitas tinggi serta memberikan jasa konsultasi TI independen ahli untuk klien
mulai dari organisasi pemerintah untuk kelas berat IT besar. PassMarkSoftware
adalah otoritas terkemuka dalam perangkat lunak dan perangkat keras
benchmarking kinerja dan pengujian.
Sejak awal mereka pada tahun 1998, PassMarkSoftware telah mengembangkan
berbagai komprehensif patokan dan diagnostik solusi PC yang digunakan di
seluruh dunia oleh ratusan ribu pengguna. Mereka telah mengalami pertumbuhan
yang konsisten dalam penjualan sejak peluncuran produk pertama mereka di bulan
Mei 1999.
2
Kakak mereka perusahaan, Wrensoft , telah mengembangkan sebuah perusahaan
mesin pencari kuat yang dikenal sebagai Zoom SearchEngine untuk digunakan
pada situs web perusahaan dan katalog CD. Zoom tetap populer dengan
masyarakat web sebagai, solusi kinerja tinggi biaya yang efektif untuk
menambahkan fungsi pencarian tanpa batas ke situs web bisnis.
PassMarkSoftware juga mengelola situs CPU patokan terbesar di dunia,
cpubenchmark.net. Situs ini memberikan pengguna akses ke hasil CPU patokan
untuk lebih dari 600.000 sistem yang mencakup lebih dari 1200 jenis CPU.
B. Cara Menginstall OS Forensik pada windows :
1. Klik untuk open file application
2. Centang “ I accept the agreement “, lalu klik next
3
3. Lalu pilih lokasi untuk menginstall aplikasi, kemudian klik next
4. Memilih untuk create nama dari program shortcut, klik next
4
5. Centang untuk dapat membuat ikon shortcut pada desktop, kemudian klik next
6. Klik install untuk menginstall aplikasi pada windows
7. Tunggu hingga instalasi selesai
5
8. Setelah instalasi selesai hanya tinggal info mengenai aplikasi, lalu klik
next, lalu klik centang launch OS Forensik untuk menjalankan aplikasi,
lalu klik finish
6
C. FITUR OS FORENSIK
OSForensics berisi kumpulan modul untuk mencari, mengumpulkan,
menganalisis dan memulihkan artefak digital yang dapat digunakan sebagai
bukti hukum di pengadilan.
Tampilan Interface program OS FORENSIK
Fitur utama dari OSForensics diuraikan sebagai berikut:
a. Manajemen kasus
Modul ini digunakan untuk hasil agregat dari semua modul lain dalam satu
lokasi, Kasus, memungkinkan untuk analisis nanti temuan secara keseluruhan dan
pelaporan temuan
b. File Name Search
Modul ini untuk pencarian file, folder melalui nama file
c. Indexing
Indexing memungkinkan untuk teks lengkap mencari di dalam isi sebuah
file. Juga mampu mencari di dalam arsip email dan menarik teks dari sektor
disk yang tidak terisi.
7
d. Recent Activity
Modul ini memungkinkan penyidik untuk memindai sistem untuk bukti
aktifitas terbaru, seperti situs diakses, USB drive, jaringan nirkabel, dan
download terbaru.
e. Delete File Search
Mencari dan memulihkan file yang telah baru-baru ini dihapus dari hard drive.
f. Mismatch Search menemukan file yang memiliki ekstensi file yang berbeda
dari apa isi dari file menyarankan. Misalnya. Sebuah file .jpeg diubah
namanya menjadi file txt.
g. Memory Viewer
Penampil memori memungkinkan penyidik untuk mengumpulkan dan
menganalisis bukti digital dalam penyimpanan memori volatile.
h. Prefetch Viewer
Prefetch penampil menampilkan informasi yang disimpan oleh sistem
operasi Prefetcher, yang meliputi kapan dan seberapa sering aplikasi
dijalankan.
i. Raw Disk Viewer
Disk penampil baku menampilkan isi baku sektor-by-sektor disk. Data
tersembunyi di sektor luar sistem file dapat diidentifikasi dan dianalisis dengan
modul ini.
j. File System Browser
Sistem file browser yang menampilkan semua perangkat ditambahkan ke
kasus secara hirarkis, mirip dengan Windows Explorer. Tidak seperti Explorer,
informasi tambahan khusus untuk analisis forensik akan ditampilkan.
k. SQLite Database Browser
Database SQLite Browser menampilkan isi dari file database SQLite
dengan cara yang terorganisasi, yang memungkinkan untuk kemudahan
navigasi dan mencari.
8
l. Web browser menyediakan penampil web dasar dengan kemampuan
forensik. Ini termasuk kemampuan untuk menyimpan menangkap layar dari
halaman web dan menambahkannya ke kasus yang sedang dibuka.
m. Password Recovery
Memulihkan password dari berbagai sumber.
n. Verifikasi / Buat Hash
Buat hash (SHA1, MD5, CRC32) dari file atau seluruh hard disk.
9
D. Pembahasan fitur OS Forensik
1. CASE MANAGEMENT
Case Management :
Create Case :
berfungsi
untuk
memulai/membuat
kasus
baru
untuk
mengelompokkan semua pencarian melalui fitur-fitur yang berbeda di
OSForensics.
Mengklik tombol kasus baru akan memungkinkan Anda untuk
menghasilkan kasus kosong baru di mana untuk mengumpulkan data dalam.
Sebuah kasus harus memiliki nama, dan mungkin memiliki penyidik terkait
meskipun hal ini tidak diperlukan.
Secara default kasus yang dibuat seperti dalam folder OSForensics
terletak di folder My Documents pengguna. Pada penciptaan sub folder akan
dibuat di lokasi target yang akan berisi kasus, tidak ada kebutuhan untuk
memilih folder kosong.
Cara menggunakannya :
Startcreate case
Isi data pada jendela yang muncul
Case name : nama kasus
Investigator : nama penyelidik
Organization : nama organisasi atau instansi
Contact details : isikan informasi contact yang valid.
Timezone : wilayah waktu anda
Acquisition type : menetukan alat yang akan dipakai
Case folder tempat pengimpanan kasus.
Setelah itu klik OK.
10
Screenshoot :
11
Import Case : berfungsi untuk mengimport kasus sebelumnya untuk
dilanjutkan.
Cara menggunakannya :
Start Pilih import
Kemudian browse folder case yang akan di import
Klik ok.
Screenshoot :
Pada manajemen kasus dapat digunakan untuk membuat dan mengelola
kasus. Kasus digunakan untuk mengelompokkan temuan dari fungsi lainnya
dalam satu lokasi yang dapat diekspor atau disimpan untuk analisis nanti.
Sebuah kasus baru harus dibuat, atau kasus sebelumnya dimuat, sebelum ada
12
kemungkinan untuk menambahkan item ke kasus dari fungsi lain.
Load Case
Beban kasus yang saat ini dipilih dari daftar. Anda juga dapat cukup klik
ganda dalam daftar untuk melakukan tindakan yang sama.
Delete Case
Menghapus kasus yang sedang dipilih. Pengguna diberikan pilihan untuk
backup data kasus ke lokasi yang ditentukan sebelum menghapus.
2. CASE MANAGER
Edit Case Details
Mengedit properti (nama misalnya., Penyidik, zona waktu, pilihan
logging) dari kasus tersebut.
Generate Report
Membuat laporan HTML dari isi kasus ini. Laporan ini ditata
menggunakan template, OSForensics memiliki sejumlah dibangun di template
untuk memilih dari, namun Anda juga dapat membuat template kustom Anda
sendiri. Memilih "Informasi tambahan" pilihan akan menampilkan lebih kolom
dalam laporan (SHA1 dan SHA256 hash, tanggal terkait untuk file dan email).
13
Cara menggunakannya :
Start Pilih Generate Report
Kemudian akan muncul jendala export report, klik ok.
Kemudian akan muncul laporan dalam bentuk HTML pada jendela browser.
Screenshoot :
14
View Log
Jika penebangan diaktifkan untuk kasus ini, membuka penampil log untuk
melihat entri log. Berfungsi untuk menampilkan aktivitas kejadian dalam bentuk
log.
Cara menggunakannya :
Start Pilih View Log
Kemudian akan tampil Jendela Case activity log, pilih save.
Screenshoot :
15
Add Attachment
Menambahkan file generik dengan kasus sebagai lampiran.
Add Note
Menambahkan catatan untuk kasus sebagai file teks.
Add Device
Menambahkan perangkat penyimpanan untuk kasus untuk analisis.
Case Activity Log
Ketika melakukan penyelidikan forensik, penting untuk menjaga jejak
audit dari kegiatan yang tepat dilakukan selama investigasi untuk beberapa
tujuan termasuk yang berikut:
a.
Pembekalan dari penyelidikan selesai
b.
Audit kegiatan penyelidikan untuk menentukan apakah prosedur yang
tepat dan protokol diikuti
c.
Mendidik dan mengevaluasi penyelidik dalam pelatihan
OSForensics memberikan pilihan untuk menentukan apakah kegiatan yang
dilakukan dalam kasus ini harus secara otomatis login ke file log tamperresistant pada disk, menghasilkan jejak semua kegiatan yang dilakukan selama
penyelidikan.
Enable/Disable Logging
Logging dapat diaktifkan / dinonaktifkan saat membuat kasus untuk pertama
kalinya atau saat mengedit kasus yang sudah ada di jendela Manajemen Kasus
16
Viewing the Log
Setelah log diaktifkan, log dapat dilihat dengan mengklik tombol "Lihat
Log" di jendela kasus manajemen, serta "Lihat Log" ikon dalam kelompok
"Manajemen Kasus" di bawah tab Start.
17
a. Major - Termasuk semua aktivitas utama yang berhubungan dengan kasus itu
sendiri, seperti ketika pertama kali diciptakan.
b. Minor - Termasuk mulai / selesai semua aktivitas forensik yang signifikan,
seperti nama file pencarian, pembuatan indeks, menghapus file pencarian, dll
c. Info - Termasuk semua aktivitas forensik tambahan dilakukan, seperti
mengekspor hasil ke disk, menambahkan file kasus, dll
d. Detail - Termasuk rincian subtasks yang sedang dieksekusi secara internal
sementara operasi forensik besar sedang dilakukan.
3. FILE NAME SEARCH
File name service digunakan untuk mencari nama-nama file dan folder
yang cocok dengan pola pencarian tertentu.
18
File Name search : berfungsi untuk mencari file disebuah direktory.
Cara menggunakannya :
Start Pilih File Name search
Isi search string dan start folder,
Kemudian klik search.
Note :
Search string : nama file yang akan dicari.
Presets : menentukan jenis data yang akan dicari
Start Folder : menetukan partici atau directory tempat file berada.
File list : daftar file yang ditemukan
19
Thumbnails : keterangan dari file
Timeline : waktu file dibuat terakhil kali.
Screenshoot :
20
4. INDEXING
Indexing memungkinkan Anda untuk mencari di dalam isi banyak file
sekaligus. Berbeda dengan modul pencarian lain yang hanya memeriksa nama
file dan kriteria permukaan lainnya, pengindeksan memungkinkan Anda untuk
melakukan pencarian jauh di dalam isi dokumen PDF, Word, E-mail, meta
data gambar dan banyak lagi.
Untuk melakukan ini, Anda harus terlebih dahulu membuat indeks untuk
set file yang ingin memeriksa. Ini adalah proses menyeluruh yang memindai
dan menganalisa file dan membangun indeks (menganggap itu sebagai versi
yang lebih canggih dari apa yang akan Anda temukan di bagian belakang
buku), yang kemudian dapat digunakan untuk melakukan pencarian di.
a. Create Index
Modul yang melakukan indeks generasi awal yang dibutuhkan untuk
pencarian berbasis indeks
b. Search index
Modul yang melakukan pencarian berbasis indeks menggunakan file indeks
yang dibuat melalui modul Buat Index.
Create Index
berfungsi untuk membuat index dari data data yang ada pada directory
agar dengan mudah dapat dicari.
Cara menggunakannya :
Start Pilih File Name search
Di step 1 pilih type file yang akan dicari
Step 2 pilih lokasi yang akan dicari
Step 3, isikan judul dan note indexnya
Kemudian klik start indexing
Step 4, diproses
Step 5,dalam pemrosesan dan tunggu sampai seslesai.
21
Note :
Use Pre-defined file types : memilih tipe atau jenis file yang akan dibuat
index pade sebuah direktory secara otomatis.
Use costum template (advanced) : membuat index dengan tempelate secara
manual.
Dalam langkah ini Anda harus memilih jenis file yang ingin Anda indeks.
Anda dapat memilih antara satu set standar dari jenis file atau Anda dapat
menentukan opsi pengindeksan lebih maju melalui template. Secara umum,
jenis file lebih yang dipilih, lebih lama dan lebih memakan proses
pengindeksan sumber daya akan mengambil.
22
Pada langkah ini, Anda akan sebutkan mulai direktori mana
OSForensics akan memindai file ke indeks. Klik tombol 'Add' untuk
menentukan lokasi awal yang ingin Anda tambahkan ke dalam daftar:
23
Pada langkah ini, Anda akan perlu untuk memasukkan rincian untuk
indeks ini akan ditambahkan ke kasus ini. Jika Anda tidak memiliki kasus
terbuka, Anda akan diminta untuk membuat / membuka satu sebelum pindah
ke langkah berikutnya. Langkah ini memungkinkan Anda untuk menentukan
judul dan catatan untuk indeks Anda yang akan disimpan dalam kasus ini.
Selama tahap ini, OSForensics akan melakukan scan awal dari lokasi dan file
yang telah Anda tentukan untuk menetapkan batas untuk proses pengindeksan.
Jika Anda telah mengatur secara manual batas-batas ini dalam pilihan
pengindeksan maju, maka langkah ini akan dilewati. Kecuali kesalahan dalam
langkah ini, akan segera beralih ke tahap akhir di mana indeks dimulai.
24
Indeks ini sekarang sedang dibuat. Proses ini dapat mengambil waktu yang
cukup lama tergantung pada opsi yang dipilih. Untuk melihat log secara realtime saat pengindeksan sedang dilakukan, klik 'Open Log ...' untuk
memunculkan jendela log seperti yang ditunjukkan di bawah ini.
25
Search Index
Modul Index Pencarian melakukan pencarian yang sebenarnya
menggunakan indeks yang dihasilkan melalui modul Buat Index. Berbeda
dengan File Name Search, isi dari file yang dicari (sebagai lawan hanya nama
file) untuk kata-kata pencarian yang ditentukan pengguna.
26
Match
Pengguna dapat memilih apakah hasilnya akan cocok dengan kata-kata
atau semua kata-kata dalam string pencarian
Maximum Results
Menentukan jumlah maksimum hasil untuk menampilkan
Date Range
Jika 'Gunakan Rentang Tanggal' dicentang, memungkinkan pengguna
untuk menyaring hasil untuk menyertakan hanya file dalam rentang tanggal
yang ditentukan.
Email Search Options
Memungkinkan pengguna untuk menyaring hasil e-mail pencarian untuk
mereka yang cocok dengan 'Dari', 'To' dan bidang 'CC'
27
5. RECENT ACTIVITY
Modul scan sistem untuk bukti aktifitas terbaru, seperti situs diakses,
program yang diinstal, USB drive, jaringan nirkabel, dan download terbaru.
Hal ini sangat berguna untuk mengidentifikasi tren dan pola pengguna, dan
materi yang telah diakses baru-baru ini.
Scan untuk aktifitas terbaru dapat dimulai dengan hanya menekan tombol Scan.
Pengaturan berikut tersedia untuk pengguna
6. DELETE FILE SEARCH
Modul dapat digunakan untuk memulihkan file dihapus dari sistem file
(file yaitu. Dihapus tidak lagi di daur ulang bin). Hal ini sangat berguna untuk
memulihkan
file
yang
pengguna
menghancurkan.
28
mungkin
telah
berusaha
untuk
7. MISMATCH FILE SEARCH
Modul dapat digunakan untuk mencari file yang isinya tidak cocok
ekstensi filenya, dalam kata lain file-file yang tidak bisa dibuka secara default
atau rusak.Modul ini dapat mengungkap upaya untuk menyembunyikan file
dengan nama file palsu dan ekstensi dengan memverifikasi apakah format file
yang sebenarnya cocok format file yang diinginkan berdasarkan ekstensi file
Cara menggunakannya :
Start Mismatch file search
Start folder : menentukan folder atau direktory yang dipilih untuk di scan.
Filter : untuk menentukan mode scan yang diterapkan.
29
8. MEMORY VIEWER
modul memungkinkan pengguna untuk melihat rincian memori dari semua
proses yang sedang berjalan pada sistem. Tidak seperti hard disk non-volatile
yang dapat dianalisis statis, isi memori (RAM) hanya dapat dianalisis
sedangkan sistem ini hidup. Selain itu, mungkin yang berpotensi melibatkan
bukti hanya ada di memori fisik sistem, tanpa jejak pada hard disk. Hal ini
rumit lebih lanjut jika data hanya ada di memori untuk jangka waktu singkat.
Dan juga berfungsi untuk menampilkan penggunaan memori dari aplikasi
yang sedang berjalan.
Cara Menggunakannya :
Start Memori viewer
Akan muncul jendela warning
Klik centang dan klik ok.
Note :
Process info : menampilakan informasi tentang aplikasi yang dipilih dan
penggunaan memorinya.
Memori space : menampilkan penyimpanan yang digunakan aplikasi.
Memory layout : berfungsi untuk menampilkan penggunaan memory.
30
9. PREFETCH VIEWER
Modul Prefetch Viewer memungkinkan pengguna untuk melihat
informasi forensik berpotensi berharga disimpan oleh sistem operasi
Prefetcher. The Prefetcher adalah komponen yang meningkatkan kinerja
sistem dengan aplikasi pre-caching dan file terkait ke dalam RAM,
mengurangi akses disk. Untuk memfasilitasi hal ini, Prefetcher mengumpulkan
aplikasi rincian penggunaan seperti jumlah kali aplikasi telah dieksekusi, saat
run terakhir, dan setiap file yang menggunakan aplikasi saat berjalan. Dengan
menggunakan informasi ini, forensik peneliti dapat mengungkap pola
penggunaan aplikasi tersangka (misalnya. "Cleaner" perangkat lunak yang
digunakan baru-baru ini) dan file yang telah dibuka (misalnya. Dokumen).
31
Fungsi selanjutnya adalah untuk menampilan sampah dari hasil membuka
aplikasi. Dengan menggunakan informasi ini, forensik peneliti dapat menentukan
pola penggunaan aplikasi tersangka.
Cara Menggunakan :
Start Prefetch viewer
Note :
Drive : menentukan drive mana yang dipilih untuk di scan.
Mapped : menampilakan file yang ditemukan.
Mapped direktories : menampilan directory dari file yang di pilih.
32
10. RAW DISK VIEWER modul memungkinkan pengguna untuk
menganalisis sektor baku semua perangkat ditambahkan ke kasus, bersama
dengan semua disk fisik dan partisi (termasuk gambar dipasang) yang melekat
pada sistem. Modul ini menyediakan kemampuan untuk melakukan
pemeriksaan lebih dalam drive, mencari di luar data yang disimpan dalam file
sistem file dan direktori. Pertunjukan tingkat analisis mungkin diperlukan jika
informasi yang menarik diduga disembunyikan dalam sektor baku drive, yang
biasanya tidak dapat diakses melalui mekanisme normal sistem operasi
(misalnya. Cluster gratis, ruang file slack).
Cara Menggunakannya :
Start Raw Disk Viewer
11. REGISTRY VIEWER
OSForensics termasuk yang dibangun di penampil registry untuk
menampilkan isi dari file sarang registri dan memiliki pilihan untuk menyalin
nama nilai, data dan untuk mengekspor kunci registri dan sub kunci mereka ke
file teks.
33
Cara Menggunakannya :
Start Registry viewer.
Pilih Drive atau browse file.
Pilih file yang akan dibuka
Klik ok.
12. FILE SYSTEM BROWSER
File system browser memberikan pandangan explorer-seperti dari semua
perangkat yang telah ditambahkan untuk kasus ini. Tidak seperti windows
explorer, file system browser ini mampu menampilkan informasi forensik
khusus tambahan, serta memungkinkan analisis yang akan dilakukan dengan
menggunakan alat yang terintegrasi osforensics
Cara Menggunakannya :
Start File and Hex Viewer
Pilih file , klik open.
34
Sreenshoot :
13. SQLITE DATABASE BROWSER
modul Browser memungkinkan pengguna untuk menganalisis isi dari file
database SQLite. berfungsi untuk menampilakan database SQL
Cara Menggunakannya :
Start File and Hex Viewer
Klik Load DB
35
Akan muncul jendela baru, pilih folder yang akan dibuka
Klik open.
36
14. WEB BROWSER
Modul Web Browser menyediakan penampil web dasar dari dalam
OSForensics. Modul ini menambahkan kemampuan untuk memuat halaman
web dari web dan menyimpan menangkap layar dari halaman web dengan
kasus dibuka saat ini.
Cara Menggunakannya :
Start Web Browser
Kemudian ketikkan alamat web yang akan dituju.
Tekan enter.
15. RECOVERY PASSWORD
Find Browser Passwords
Mengambil password yang telah diingat oleh browser web pada sistem.
37
Windows Login Passwords
Mengambil password login dan hash untuk pengguna sistem. hash diambil
dapat digunakan bersama dengan tabel pelangi untuk menemukan password.
Rainbow Tables
Menggunakan tabel pelangi untuk melakukan reverse lookup pada hash
password.
16. SYSTEM INFORMATION
Modul Sistem Informasi memungkinkan pengambilan informasi rinci
tentang komponen inti dari sistem. Modul ini dilengkapi dengan built-in daftar
tes tes yang dapat mengambil rincian inti tentang sistem seperti;
a. CPU, Motherboard and Memory
b. BIOS
c. Video card/Display devices
d. USB controllers and devices
e. Ports (Serial/Parallel)
f. Network adapters
g. Physical and Optical Drives
Cara Menggunakannya :
Start System Information
Pilih list dan klik go.
38
17. VERIFY / CREATE HASH
Verifikasi / Buat modul Hash digunakan untuk memverifikasi integritas
file dengan menghitung nilai hash-nya. Hal ini juga dapat digunakan untuk
membuat hash dari seluruh partisi atau disk drive fisik atau string teks
sederhana.
39
18. HASH SETS
Set hash memungkinkan penyidik untuk dengan cepat mengidentifikasi
dikenal file aman (seperti Sistem Operasi dan file program) atau dikenal
diduga file (seperti virus, trojan, script hacker) untuk mengurangi kebutuhan
untuk analisis memakan waktu lebih lanjut. Set hash digunakan dalam teknik
analisis data yang disebut Analisis hash, yang menggunakan MD5, SHA1 dan
SHA256 hash dari file untuk memverifikasi file pada perangkat penyimpanan.
Sebuah hash unik mengidentifikasi isi dari file, terlepas dari nama file.
Dengan kata lain, setiap dua file dengan hash yang sama dikatakan sama.
Sebuah koleksi nilai hash ini membentuk satu set hash, yang dapat digunakan
untuk mengurangi waktu yang dibutuhkan untuk mencari media penyimpanan
untuk file tertentu yang menarik. Secara khusus, file yang dikenal aman atau
terpercaya dapat dihilangkan dari pencarian berkas. Hash set juga dapat
digunakan untuk mengidentifikasi keberadaan berbahaya, selundupan, atau file
yang memberatkan seperti software bajakan, pornografi, virus dan file bukti.
40
1. New Hash Database : berfungsi untuk membuat sebuah hash database baru.
Biasanya berisikan kumpulan hash set, Hash set ini digunakan untuk baik
atau buruknya suatu file menggunakan MD5 dan SHA signature.
Cara Menggunakannya :
Start New Hash Database
Ketikkan Nama Database yang akan dibuat.
Klik ok.
ScreenShoot :
41
2. New Hash Set : berfungsi untuk membuat sebuah hash set baru yang
didalamnya terdapat hash database yang aktif.
42
Cara Menggunakannya :
Start New Hash Set
Isikan field yang ada dijendela new hash set
Klik Create.
Note :
Origin : File original. Tergantung ruang lingkup database ini yang bias lebih
spesifik seperti “Bill PC” or atau sebuah organisasi.
Product type : Tipe produk apa yang filenya berkaitan dengan contoh
pengolah kata,atau editor gambar.
Manufacture : Perusahaan atau orang yang membuat beberapa file tersebut.
Set type : Sebuah klasifikasi untuk set file. Contohnya baik atau buruk, dll.
OS : Sistem operasi yang berkaitan dengan file tersebut.
Set name : Nama yang akan diset untuk Hash Set.
Version : Versi dari file teserbut.
Language : Bahasa yang digunakan dalam file tersebut.
Folder : Direktori dimana mencari file yang ditambahkan di set. Semua
Folder
3. Create Hash : berfungsi untuk membuat hash atau mengubah file atau partisi
dalam bentuk hash.
Cara Menggunakannya :
Start Create Hash
Pilh File dan browse
Pilih hash function
Klik Calculate.
Note :
File : browse menggunakan file yang akan di buatkan hash nya.
Volume : untuk memlih drive yang akan di buatkan hash nya.
Text : menggunakan teks yang akan di buatkan hash nya.
Hash Fuction : untuk memilih tipe hash nya.
43
Screenshoot :
19. CREATE SIGNATURE
Module that handles all aspects of generating a signature.
Cara Menggunakannya :
Start Create Signature
Pilih folder yang akan dibuatkan signaturenya
Klik Start
Pilih Signature,kemudia klik save.
44
20. COMPARE SIGNATURE
Modul yang memungkinkan pengguna untuk membandingkan tanda
tangan yang dihasilkan sebelumnya. Ringkasan dari setiap perubahan antara
tanda tangan akan ditampilkan kepada pengguna.
Cara Menggunakannya :
Start Compare Signature
Pilih file yang akan dibuka pada old signature
Pilih file yang akan dibuka pada new signature
Klik Compare.
21. DRIVE PREPARATION
Modul ini menyediakan dua fitur yang berbeda. Pertama dapat menguji
drive untuk keandalan, berpotensi mengidentifikasi setiap drive rusak sebelum
mereka mulai digunakan aktif dalam penyelidikan. Kedua hal itu dapat
mengatur semua byte dari drive ke pola byte tertentu (dan memverifikasi pola
byte telah ditulis untuk seluruh drive), memastikan tidak ada kesempatan
kontaminasi data antara investigasi
45
22. DRIVE IMAGING
Fungsi disk imaging memungkinkan penyidik untuk membuat dan
mengembalikan file disk image, yang bitby-bit salinan dari partisi, disk fisik
atau volume. Disk imaging sangat penting dalam mengamankan salinan dari
perangkat penyimpanan, sehingga dapat digunakan untuk analisis forensik
tanpa risiko integritas data asli. Sebaliknya, file gambar dapat dikembalikan
kembali ke disk pada sistem.
Seorang penyidik forensik mungkin perlu berurusan dengan disk fisik
yang merupakan bagian dari konfigurasi RAID. Tanpa akses ke RAID
controller yang dibutuhkan untuk menciptakan array RAID, mungkin sulit
untuk merekonstruksi disk logis untuk analisis forensik. Mengingat satu set
gambar disk, OSForensics dapat membangun kembali citra logis berdasarkan
parameter RAID yang ditentukan. parameter RAID dari software RAID dibuat
di Linux dan Windows dapat secara otomatis terdeteksi.
Drive Imaging : pencitraan drive atau mengkopy drive.
Cara Menggunakannya :
Start Drive Imaging
Pilih Source Disk
Pilih Target Image File.
46
Note :
Source Disk : Lokasi penyimpanan yang akan dibuat copyan nya.
Target Image File : tempat copyan yang akan ditempati sebagai tempat save.
23. FORENSIC COPY
Salinan isi dari satu direktori ke yang lain mempertahankan cap waktu
yang sama seperti aslinya. Hal ini berguna untuk kasus-kasus di mana Anda
mungkin tidak ingin membuat image drive yang lengkap.
Log, selain pesan status umum juga akan menampilkan pesan kesalahan
tentang file yang gagal untuk menyalin. Alasan paling umum untuk kegagalan
adalah bahwa mereka dikunci oleh proses lain atau pengguna saat ini tidak
memiliki izin untuk mengaksesnya.
Cara Menggunakannya :
Start Forensic Copy
Pilih source directory
47
Pilih destination director, klik ok
Muncul warning
Klik start.
24. INSTALLING TO A USB DRIVE OR AN OPTICAL DISK
Hal ini memungkingkan untuk menginstal OSForensics ke USB drive
atau CD / DVD / BD sehingga tidak diperlukan instalasi pada sistem tes. Hal
ini dapat berguna dalam sejumlah skenario, seperti analisis lapangan tanpa
menginstal OSForensics pada sistem tes.
Ketika OSForensics adalah dijalankan dari removable drive ketika
diinstal dengan cara ini, direktori default untuk file pengguna adalah direktori
OSForensics, bukan direktori default normal direktori Dokumen pengguna.
Proses Instalasi OSForensics ke drive USB
Proses instalasi ini dapat dilakukan untuk instalasi USB drive (drive
ditulis) menggunakan menu option "Install untuk USB".
Dari Jendela "Install OSForensics ke USB drive", Anda perlu menentukan:
1. USB drive dan direktori Anda ingin menginstal OSForensics untuk.
Misalnya, "F: \ OSForensics". OSForensics akan membuat direktori jika tidak
ada.
2. Jenis instalasi. Jika Anda memiliki kunci lisensi, kemudian pilih Izin, jika
tidak pilih Evaluasi untuk masa percobaan.
48
3. Jika Anda memilih "Izin" jenis instalasi, kemudian masukkan Username /
Key;
Pilih
seluruh kunci, termasuk
----- START_OF_KEY ----- dan
END_OF_KEY ---- Cara Menggunakannya (petunjuk sederhana):
Start Removable Drive Preparation
Pilih USB yang akan di install
Plih tipe installnya
Klik install
Note :
Evaluation : tipe free OSFroensics
Licensed : tipe full version OSForensics
49
-----
Copy dan paste kunci ini ke username dan field kunci.
Ketika Anda pilih install, OSForensics akan membuat direktori pada USB
drive (misalnya F: \ OSForensics), menyalin semua file dari direktori
OSForensics (misalnya C: \ Program Files \ OSForensics) ke drive USB
(misalnya F: \ OSForensics) dan menginstal informasi lisensi ke drive USB.
25. LICENSE KEYS
Setelah membeli perangkat lunak kunci lisensi dikirimkan melalui Email. kunci lisensi ini harus dimasukkan ke dalam perangkat lunak
OSForensics. Jendela registrasi baik dapat diakses bentuk jendela diterima
dengan mengklik "Upgrade ke versi Professional" atau menggunakan "Daftar"
tombol pada side bar navigasi.
Ketika memasuki kunci lisensi, copy dan paste kunci lisensi dari Email. Melakukan copy dan paste akan menghindari kemungkinan kesalahan
pengetikan.
Find your license key
Setelah Anda telah menempatkan pesanan Anda akan menerima e-mail
yang berisi rincian tentang pesanan Anda, nama pengguna dan kunci lisensi Anda.
Seharusnya terlihat seperti ini:
50
26. ABOUT
51
E. KESIMPULAN
Di era digital modern ini bentuk kejahatan di antara social society di dunia
sangatlah canggih, tidak lagi para pelaku kejahatan menampakka diri secara fisik,
namun mereka dapat menggunakan kecanggihan teknologi digital sekarang ini,
dengan menggunakan jaringan komputer, alat elektronik, dan lain sebagainya.
Untuk itu diperlukan peralatan dan aplikasi software dan hardware untuk dapat
mengidentifikasi dan menganalisis bentuk kejahatan digital tersebut. Maka dari
itu para ahli software di seluruh dunia membuat software untuk dapat
memecahkan masalah kejahatan teknologi digital dengan berbagai fiture yang
memudahkan pengguna. Maka dari itu aplikasi OS Forensik ini adalah salah satu
software untuk dapat menangani kejahatan cybercrime dan dapat menganalisis
guna membantu penyelidikan kasus. Dari beberapa penjabaran dan penjelasan
terperinci di dalam makalah ini mengenai aplikasi OS Forensik serta petunjuk
pemakaian nya, dapat di simpulkan bahwa OS Forensik sangatlah baik digunakan
untuk menangani kasus cybercrime, dengan bnyak fitur dan memudahkan
pengguna dalam memakainya.
52