Backtrack-->Forensic-->Forensic Suites-->Autopsy
browser Autopsy Forensic merupakan tool digital analys system yang memiliki graphical interface di The Sleuth Kit hasil duet maut tool ini mampu menganalisa disk/filesystem Windows dan Unix (NTFS,FAT,UFS1,2,Ext2/3).
The Sleuth Kit dan Autopsy merupakan tools opensource kalau di windows silahkan install Cygwin untuk menjalankannya..Autopsy bebasis Html anda bisa tersambung dengan Autopsy server menggunakan browser..Autopsy Menyediakan sebuah file Manager antarmuka dan menampilkan detail tentang penghapusan data dan struktuf file system.
Autopsy ditulis menggunakan bahasa ONTA Hhehehe perl...
Tehnik dalam pencarian bukti2.
1.File Listing
menganalisa file dan direktori meliputi nama nama2 file yang terhapus dan Unicode-based names
2.File Content:
file content bisa di lihat dalam bentuk raw(mentah2),ketika data telah di tafsirkan.Autopsy mampu mencegah kerusakan pada sistem analisi local.
3.Hash Databases
Lookup file mampu mendeteksi hash yang baik maupun bad/jelek didalam database
Autopsy menggunakan referensi dari NIST NATIONAL SOFTWARE REFERENCE LIBRARY (NSRL)dan user bisa membuat database dan bisa tahu baik apa gaknya sebuah file yang dibuat.
4.File type Sorting
urutan file2 berdasarkan internal signature (tanda tangan)untuk mengidentifikasi jenis dan type file.autopsi mampu mengekstrak graphic images (termasuk thumbnail)..Ekstensi file juga akan dibandingkan dengan jenis file untuk mengidentifikasi file yang mungkin memiliki ekstensi-nya berubah atau tersembunyi.
5.Timeline Of file Activity:
didalam beberapa kasus,,memiliki timeline dari actifitas file bisa membantu kita mendeteksi area file system yang mungkin berisi bukti..autopsi mampu membuat timeline/jadwal yang berisi entry untuk acces,modifikasi dan perubahan (MAC).
6.Keyword Search:
Kata kunci pencarian file system image dapat dilakukan dengan menggunakan string ASCII dan grep regular,,pencarian dapat dilakukan pada salah satu system image ataupun secara penuh..dan alokasi yang tak terisi...sebuah file index bisa dibuat untuk pencarian lebih cepat.String yang sering dicari dapat dengan mudah dikonfigurasi ke autopsy untuk pencarian otomatis.
7.Meta Data Analysis:
Metadata struktur ini berisi rincian tentang file dan direktori..autopsi memungkinkan kita bisa melihat detail sebuah struktur metadata didalam sebuah file system.ini berguna untuk mengrecovery konten yang terhapus.. Otopsi akan mencari direktori untuk mengidentifikasi path lengkap dari file yang alokasinya telah di struktur.
8.Data Unit Analysis:
data unit yang dimana sebuah content disimpan,autopsy mampu melihat unit Otopsi memungkinkan Anda untuk melihat isi dari setiap unit data dalam berbagai format termasuk ASCII, hexdump, dan string. Jenis file juga diberikan dan otopsi akan mencari struktur meta data untuk mengidentifikasi yang telah dialokasikan unit data.
9.Image Details:
File system bisa dilihat secara detail,,meliputi tataletak disk dan waktu kegiatan/time activity,,,informasi ini berguna untuk pengembalian data.
Manajement Kasus
1.Case Management:
menginfestigasi kasus-kasus yang telah terorganisasi,,yang dimana berisi satu atau lebih host..tiap host dikonfigurasi dan memiliki zona waktu tersendiri...tiap host bisa berisi satu atau lebih file system untuk dianalisa.
2.Event Sequencer:
Waktu yang berbasis kejadian dapat ditambahkan dari aktifitas file atau IDS dan log firewall,,peristiwa/kejadian dapat mudah di tentukan.
3.Notes:
kita bisa membuat catatan singkat tentang file dan struktur,Lokasi asli dapat dengan mudah diingat dengan mengklik tombol ketika catatan yang terakhir. Semua catatan disimpan dalam file ASCII.
4.Image Integrity:
sangat penting untuk memastikan sebuah file tidak berubah selama analysis.Otopsi, secara default, akan menghasilkan nilai MD5 untuk semua file yang diimpor atau dibuat. Integritas file apapun yang menggunakan otopsi dapat divalidasi setiap saat.
5.Report
otopsi dapat membuat laporan ASCII untuk file dan struktur file sistem lainnya. Hal ini memungkinkan Anda untuk dengan cepat membuat lembaran data yang konsisten selama penyelidikan.
6.Logging
didalam sebuah case terbentuklah audit log,host dan tingkatan penyidik..dan semua ini dengan mudah di recall/diingat.
7.Open Design:
autopsi merupakan tools opensource dan semua file menggunakan format baku,,, semua konfigurasi file-file didalam ASCII text dan case di atur oleh direktori, ini membuat kita dengan mudah untuk mengexport data dan archive, hal ini juga tidak membatasi kita menggunakan tools lain dalam memcahkan masalah yang spesifik.
8.Client Server Model:
Autopsi berbasis Html...so Hal ini memungkinkan peneliti untuk menggunakan beberapa server yang sama dan terhubung dari sistem pribadi.
http://localhost:9999/autopsy
Tampilan awal tukang autopsy
Klik NewCase
Membuat Case Baru
ISI sesuai keperluan Klik New Case
Case udah jadi jadi terletak di direktori /root/autopsy/forensic
Klik ADD Host
Kita akan membuat sebuah host
KLik Add Host
Klik ADD IMAGE
Selanjutnya, tambahkan disk image dengan menekan tombol Add Autopsy memungkinkan Anda untuk menggunakan gambar yang Anda telah CAPTURE. Hal ini dapat menjadi image disk menggunakan perintah dd misalnya). Anda juga dapat menggunakan otopsi untuk mengcapture disk,
Klik add image file
OK saya add image nya yang ada di direktori /root/igor.img
NEXT
I dont care KLIK ok
Klik ADD
Ok
Yeahhh Udah nyampe ne di rumah sakit Autopsynya siap dilakukan bos.....!!!!!!!!!
Image Detail
File System Image
ASII Your Image Disk
Event Sequence back above to see this meaning!!hehhe
Just For FUn dude; :p
Sekian Dan Terima Kasih...... silahkan dicoba ya!!!!!!
0 komentar:
Posting Komentar