Forensik

Dalam kategori forensik, kita diminta mencari flag dalam file yang diberikan. Biasanya langkah yang dilakukan adalah:

  • Identifikasi file
  • Ekstrak metadata file
  • Ekstrak isi file
  • Periksa isi file (mungkin perlu rekonstruksi sesuatu)

Langkah terakhir itu bisa rumit, tergantung format filenya

Identifikasi file

Identifikasi file dapat dilakukan dengan program file. File juga bisa dikenali dari ekstensinya, misalnya jika Anda menemukan file dengan ekstensi pgp atau gpg, kemungkinan itu file biner hasil enkripsi pgp atau gpg.

Perlu diketahui bahwa kadang file tidak dikenali formatnya tapi bisa diekstrak dengan binwalk.

Metadata

Format tertentu memiliki metadata, misalnya file ZIP bisa memiliki comment, file PNG memiliki EXIF, JPG memiliki comment, dsb.

ekstraksi file

Jika file terkompresi, kenali apa kompresinya (dengan file) dan ekstrak dengan tool yang sesuai (bisanya 7z/7-Zip bisa dipakai membuka filenya).

Untuk file yang tidak dikenal dan berukuran cukup besar, coba gunakan binwalk. Binwalk akan mencoba mengekstrak semua file yang dikenali dari sebuah file data apapun.

Format file

Pelajarilah berbagai format file supaya tahu internalnya seperti apa. Contoh:

  • File ZIP: header file zip bisa dimulai tidak harus di awal file. ZIP bisa mengandung komentar.
  • File PNG: terdiri dari berbagai blok, ada checksum di tiap blok
  • File TAR.GZ: sebenarnya adalah file TAR yang dikompres dengan GZIP (langkah terpisah)

Filesystem

Ada banyak filesystem di dunia ini (misalnya: FAT, NTFS, HPFS, EXT2/3/4, exFAT, dsb) masing-masing memiliki karakteristiknya sendiri dan memiliki toolsnya sendiri.

Cobalah kuasai penggunaan berbagai tool untuk filesystem tersebut terutama bagaimana memount atau mengekstrak filesystem tersebut.

Undelete file

Di hampir semua filesystem, jika Anda menghapus sesuatu, maka data Anda tidak benar-benar di hapus, hanya ditandai bahwa spacenya bisa dipakai oleh file lain. Untuk sistem yang tidak banyak aktivitas tulis (tidak sibuk) misalnya kamera, maka space akan bisa dipakai sampai kita memfoto lagi. Untuk sistem yang sibuk, misalnya sistem multi user, file yang dihapus akan segera ditimpa oleh orang lain.

Ada perkecualian di Linux: file yang terhapus tidak segera hilang jika masih ada program yang membuka file itu. Kita bisa mengembalikan file itu dengan mengcopy filenya dari /proc:

http://superuser.com/questions/283102/how-to-recover-deleted-file-if-it-is-still-opened-by-some-process/

PDF

Format PDF bisa berisi banyak hal, dari mulai gambar, file sembarang, sampai script.

http://sandsprite.com/blogs/index.php?uid=7&pid=57

Versioning

Kadang data disembunyikan dalam file versi sebelumnya di sebuah versioning system (git, cvs atau yang lain). Pelajari beberapa perintah software VCS seperti git untuk memudahkan memecahkan soal seperti ini.

Contol Soal

Strange

Diperlukan pemahaman format file PNG untuk mengekstrak hanya bagian tertentu saja

https://github.com/rentjongteam/write-ups-2015/tree/master/asis-finals-2015/strange

PNG uncorrupt

Judul soal sudah sangat jelas bahwa file PNG terkorupsi. Dibutuhkan pengetahuan mengenai format file PNG dan programming untuk bisa menyelesaikan soal ini

http://blog.rentjong.net/2015/04/png-uncorruptforensic150.html

Riverside

File PCAP yang berisi sniffing USB

http://blog.rentjong.net/2015/03/boston-key-party-2015-riverside.html

Forensic 300 (Asis Quals 2014)

Forensik terhadap savefile virtualbox

http://blog.rentjong.net/2014/05/asis-quals-2014-forensic-300.html

Copyright © 2009-2010 Yohanes Nugroho