useran dari USB perangkat untuk menyimpan data dan informasi pribadi meningkat dari hari ke hari karena portabilitas dan sifat plug-and-play dari perangkat ini. SEBUAHUSB (Universal Serial Bus)perangkat menyediakan kapasitas penyimpanan mulai dari 2 GB hingga 128 GB atau lebih. Karena sifat tersembunyi dari perangkat ini, drive USB dapat digunakan untuk menyimpan program dan file berbahaya dan berbahaya, seperti packet sniffer, keylogger, file berbahaya, dll. untuk melakukan tugas berbahaya oleh peretas dan script kiddies. Ketika informasi yang memberatkan seperti pemerasan dihapus dari perangkat USB, maka forensik USB akan ikut bermain untuk mengambil informasi yang dihapus. Pengambilan atau pemulihan data yang dihapus dari drive USB adalah apa yang kami sebut forensik USB. Artikel ini akan membahas prosedur profesional untuk melakukan analisis forensik pada perangkat USB.
Buat Copy Gambar Drive USB
Hal pertama yang akan kita lakukan adalah membuat copyan drive USB. Dalam hal ini, pencadangan biasa tidak akan berfungsi. Ini adalah langkah yang sangat penting, dan jika dilakukan dengan salah, semua pekerjaan akan sia-sia. Gunakan perintah berikut untuk mendaftar semua drive yang terpasang ke sistem:
[email protected]:~$ sudo fdisk -l
Di Linux, nama drive berbeda dari Windows. Dalam sistem Linux,hda dan hdb digunakan (sda, sdb, sdc, dll.) untuk SCSI, tidak seperti di OS Windows.
Sekarang kita memiliki nama drive, kita dapat membuatnya .dd gambar sedikit demi sedikit dengan dd utilitas dengan memasukkan perintah berikut:
[email protected]:~$ sudo dd if=/dev/sdc1 of=usb.dd bs=512 count=1
if =lokasi drive USB
of=tujuan tempat gambar yang dicopy akan disimpan (dapat berupa jalur lokal di sistem Anda, misalnya /home/user/usb.dd)
bs= jumlah byte yang akan dicopy pada suatu waktu
Untuk mengamankan bukti bahwa kami memiliki copyan gambar asli dari drive, kami akan menggunakan hashinguntuk menjaga integritas gambar. Hashing akan memberikan hash untuk drive USB. Jika satu bit data diubah, hash akan diubah sepenuhnya, dan orang akan tahu apakah copyannya palsu atau asli. Kami akan menghasilkan hash md5 dari drive sehingga, jika dibandingkan dengan hash asli drive, tidak ada yang dapat mempertanyakan integritas copyan.
[email protected]:~$ md5sum usb.dd
Ini akan memberikan hash md5 dari gambar. Sekarang, kita dapat memulai analisis forensik kita pada gambar drive USB yang baru dibuat ini, bersama dengan hash.
Tata Letak Sektor Boot
Menjalankan perintah file akan mengembalikan sistem file, serta geometri drive:
[email protected]:~$ file usb.dd
ok.dd: DOS/MBR boot sector, code offset 0x58+2, OEM-ID "MSDOS5.0",
sectors/cluster 8, reserved sectors 4392, Media descriptor 0xf8,
sectors/track 63, heads 255, hidden sectors 32, sectors 1953760 (volumes > 32 MB),
FAT (32 bit), sectors/FAT 1900, reserved 0x1, serial number 0x6efa4158, unlabeled
Sekarang, kita bisa menggunakan minfo alat untuk mendapatkan tata letak sektor boot NTFS dan informasi sektor boot melalui perintah berikut:
[email protected]:~$ minfo -i usb.dd
device information:
===================
filename="ok.dd"
sectors per track: 63
heads: 255
cylinders: 122
mformat command line: mformat -T 1953760 -i ok.dd -h 255 -s 63 -H 32 ::
boot sector information
======================
banner:"MSDOS5.0"
sector size: 512 bytes
cluster size: 8 sectors
reserved (boot) sectors: 4392
fats: 2
max available root directory slots: 0
small size: 0 sectors
media descriptor byte: 0xf8
sectors per fat: 0
sectors per track: 63
heads: 255
hidden sectors: 32
big size: 1953760 sectors
physical drive id: 0x80
reserved=0x1
dos4=0x29
serial number: 6EFA4158
disk label="NO NAME "
disk type="FAT32 "
Big fatlen=1900
Extended flags=0x0000
FS version=0x0000
rootCluster=2
infoSector location=1
backup boot sector=6
Infosector:
signature=0x41615252
free cluster s=243159
last allocated cluster=15
Perintah lain, fstat perintah, dapat digunakan untuk mendapatkan info umum yang diketahui, seperti struktur alokasi, tata letak, dan blok boot, tentang image perangkat. Kami akan menggunakan perintah berikut untuk melakukannya:
[email protected]:~$ fstat usb.dd
--------------------------------------------
File System Type: FAT32
OEM Name: MSDOS5.0
Volume ID: 0x6efa4158
Volume Label (Boot Sector): NO NAME
Volume Label (Root Directory): KINGSTON
File System Type Label: FAT32
Next Free Sector (FS Info): 8296
Free Sector Count (FS Info): 1945272
Sectors before file system: 32
File System Layout (in sectors)
Total Range: 0 - 1953759
* Reserved: 0 - 4391
** Boot Sector: 0
** FS Info Sector: 1
** Backup Boot Sector: 6
* FAT 0: 4392 - 6291
* FAT 1: 6292 - 8191
* Data Area: 8192 - 1953759
** Cluster Area: 8192 - 1953759
*** Root Directory: 8192 - 8199
METADATA INFORMATION
--------------------------------------------
Range: 2 - 31129094
Root Directory: 2
CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 4096
Total Cluster Range: 2 - 243197
FAT CONTENTS (in sectors)
--------------------------------------------
8192-8199 (8) -> EOF
8200-8207 (8) -> EOF
8208-8215 (8) -> EOF
8216-8223 (8) -> EOF
8224-8295 (72) -> EOF
8392-8471 (80) -> EOF
8584-8695 (112) -> EOF
File yang Dihapus
Itu Sleuth Kit menyediakan fls alat, yang menyediakan semua file (terutama file yang baru saja dihapus) di setiap jalur, atau di file gambar yang ditentukan. Setiap informasi tentang file yang dihapus dapat ditemukan menggunakanfls kegunaan. Masukkan perintah berikut untuk menggunakan alat fls:
[email protected]:~$ fls -rp -f fat32 usb.dd
r/r 3: KINGSTON (Volume Label Entry)
d/d 6: System Volume Information
r/r 135: System Volume Information/WPSettings.dat
r/r 138: System Volume Information/IndexerVolumeGuid
r/r * 14: Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv
r/r * 22: Game of Thrones 2 (Pretcakalp) 720 x264 DDP 5.1 ESub - xRG.mkv
r/r * 30: Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv
r/r * 38: Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv
d/d * 41: Oceans Twelve (2004)
r/r 45: MINUTES OF PC-I HELD ON 23.01.2020.docx
r/r * 49: MINUTES OF LEC HELD ON 10.02.2020.docx
r/r * 50: windump.exe
r/r * 51: _WRL0024.tmp
r/r 55: MINUTES OF LEC HELD ON 10.02.2020.docx
d/d * 57: New folder
d/d * 63: tender notice for network infrastructure equipment
r/r * 67: TENDER NOTICE (Mega PC-I) Phase-II.docx
r/r * 68: _WRD2343.tmp
r/r * 69: _WRL2519.tmp
r/r 73: TENDER NOTICE (Mega PC-I) Phase-II.docx
v/v 31129091: $MBR
v/v 31129092: $FAT1
v/v 31129093: $FAT2
d/d 31129094: $OrphanFiles
-/r * 22930439: $bad_content1
-/r * 22930444: $bad_content2
-/r * 22930449: $bad_content3
Di sini, kami telah memperoleh semua file yang relevan. Operator berikut digunakan dengan perintah fls :
-p =digunakan untuk menampilkan path lengkap dari setiap file yang dipulihkan
-r =digunakan untuk menampilkan jalur dan folder secara rekursif
-f =jenis sistem file yang digunakan (FAT16, FAT32, dll.)
Output di atas menunjukkan bahwa drive USB berisi banyak file. File yang dihapus yang dipulihkan dinotasikan dengan “*” tanda. Anda dapat melihat bahwa ada sesuatu yang tidak normal dengan file bernama $bad_content1, $bad_content2, $bad_content3, dan windump.exe. Windump adalah alat penangkapan lalu lintas jaringan. Menggunakan alat windump, seseorang dapat menangkap data yang tidak dimaksudkan untuk komputer yang sama. Maksud ditunjukkan dalam fakta bahwa windump perangkat lunak memiliki tujuan khusus untuk menangkap lalu lintas jaringan dan sengaja digunakan untuk mendapatkan akses ke komunikasi pribadi user yang sah.
Analisis Garis Waktu
Sekarang kita memiliki gambar sistem file, kita dapat melakukan analisis garis waktu MAC gambar untuk menghasilkan garis waktu dan menempatkan konten dengan tanggal dan waktu dalam format yang sistematis dan dapat dibaca. Keduanya fls dan ilsperintah dapat digunakan untuk membangun analisis garis waktu dari sistem file. Untuk perintah fls, kita perlu menentukan bahwa output akan berada dalam format output timeline MAC. Untuk melakukannya
, kami akan menjalankanfls perintah dengan -mmenandai dan mengarahkan output ke file. Kami juga akan menggunakan-m bendera dengan ils memerintah.
[email protected]:~$ fls -m / -rp -f fat32 ok.dd > usb.fls
[email protected]:~$ cat usb.fls
0|/KINGSTON (Volume Label Entry)|3|r/rrwxrwxrwx|0|0|0|0|1531155908|0|0
0|/System Volume Information|6|d/dr-xr-xr-x|0|0|4096|1531076400|1531155908|0|1531155906
0|/System Volume Information/WPSettings.dat|135|r/rrwxrwxrwx|0|0|12|1532631600|1531155908|0|1531155906
0|/System Volume Information/IndexerVolumeGuid|138|r/rrwxrwxrwx|0|0|76|1532631600|1531155912|0|1531155910
0|Game of Thrones 1 720p x264 DDP 5.1 ESub - xRG.mkv (deleted)|14|r/rrwxrwxrwx|0|0|535843834|1531076400|1531146786|0|1531155918
0|Game of Thrones 2 720p x264 DDP 5.1 ESub - xRG.mkv(deleted)|22|r/rrwxrwxrwx|0|0|567281299|1531162800|1531146748|0|1531121599
0|/Game of Thrones 3 720p x264 DDP 5.1 ESub - xRG.mkv(deleted)|30|r/rrwxrwxrwx|0|0|513428496|1531162800|1531146448|0|1531121607
0|/Game of Thrones 4 720p x264 DDP 5.1 ESub - xRG.mkv(deleted)|38|r/rrwxrwxrwx|0|0|567055193|1531162800|1531146792|0|1531121680
0|/Oceans Twelve (2004) (deleted)|41|d/drwxrwxrwx|0|0|0|1532545200|1532627822|0|1532626832
0|/MINUTES OF PC-I HELD ON 23.01.2020.docx|45|r/rrwxrwxrwx|0|0|33180|1580410800|1580455238|0|1580455263
0|/MINUTES OF LEC HELD ON 10.02.2020.docx (deleted)|49|r/rrwxrwxrwx|0|0|46659|1581966000|1581932204|0|1582004632
0|/_WRD3886.tmp (deleted)|50|r/rrwxrwxrwx|0|0|38208|1581966000|1582006396|0|1582004632
0|/_WRL0024.tmp (deleted)|51|r/rr-xr-xr-x|0|0|46659|1581966000|1581932204|0|1582004632
0|/MINUTES OF LEC HELD ON 10.02.2020.docx|55|r/rrwxrwxrwx|0|0|38208|1581966000|1582006396|0|1582004632
(deleted)|67|r/rrwxrwxrwx|0|0|56775|1589482800|1589528598|0|1589528701
0|/_WRD2343.tmp (deleted)|68|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/_WRL2519.tmp (deleted)|69|r/rr-xr-xr-x|0|0|56775|1589482800|1589528598|0|1589528701
0|/TENDER NOTICE (Mega PC-I) Phase-II.docx|73|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/$MBR|31129091|v/v---------|0|0|512|0|0|0|0
0|/$FAT1|31129092|v/v---------|0|0|972800|0|0|0|0
0|/$FAT2|31129093|v/v---------|0|0|972800|0|0|0|0
0|/New folder (deleted)|57|d/drwxrwxrwx|0|0|4096|1589482800|1589528384|0|1589528382
0|Windump.exe (deleted)|63|d/drwxrwxrwx|0|0|4096|1589482800|1589528384|0|1589528382
0|/TENDER NOTICE (Mega PC-I) Phase-II.docx (deleted)|67|r/rrwxrwxrwx|0|0|56775|1589482800|1589528598|0|1589528701
0|/_WRD2343.tmp (deleted)|68|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/_WRL2519.tmp (deleted)|69|r/rr-xr-xr-x|0|0|56775|1589482800|1589528598|0|1589528701
0|/TENDER NOTICE (Mega PC-I) Phase-II.docx|73|r/rrwxrwxrwx|0|0|56783|1589482800|1589528736|0|1589528701
0|/$MBR|31129091|v/v---------|0|0|512|0|0|0|0
0|/$FAT1|31129092|v/v---------|0|0|972800|0|0|0|0
0|/$FAT2|31129093|v/v---------|0|0|972800|0|0|0|0
0|/$OrphanFiles|31129094|d/d---------|0|0|0|0|0|0|0
0|/$$bad_content 1 (deleted)|22930439|-/rrwxrwxrwx|0|0|59|1532631600|1532627846|0|1532627821
0|/$$bad_content 2 (deleted)|22930444|-/rrwxrwxrwx|0|0|47|1532631600|1532627846|0|1532627821
0|/$$bad_content 3 (deleted)|22930449|-/rrwxrwxrwx|0|0|353|1532631600|1532627846|0|1532627821
Jalankan mactime alat untuk mendapatkan analisis garis waktu dengan perintah berikut:
[email protected]:~$ cat usb.fls > usb.mac
Untuk mengonversi keluaran mactime ini ke bentuk yang dapat dibaca manusia, masukkan perintah berikut:
[email protected]:~$ mactime -b usb.mac > usb.mactime
[email protected]:~$ cat usb.mactime
Thu Jul 26 2018 22:57:02 0 m... d/drwxrwxrwx 0 0 41 /Oceans Twelve (2004) (deleted)
Thu Jul 26 2018 22:57:26 59 m... -/rrwxrwxrwx 0 0 22930439 /Game of Thrones 4 720p x264 DDP 5.1 ESub -(deleted)
47 m... -/rrwxrwxrwx 0 0 22930444 /Game of Thrones 4 720p x264 DDP 5.1 ESub - (deleted)
353 m... -/rrwxrwxrwx 0 0 22930449 //Game of Thrones 4 720p x264 DDP 5.1 ESub - (deleted)
Fri Jul 27 2018 00:00:00 12.a.. r/rrwxrwxrwx 0 0 135 /System Volume Information/WPSettings.dat
76.a.. r/rrwxrwxrwx 0 0 138 /System Volume Information/IndexerVolumeGuid
59.a.. -/rrwxrwxrwx 0 0 22930439 /Game of Thrones 3 720p x264 DDP 5.1 ESub 3(deleted)
47.a.. -/rrwxrwxrwx 0 0 22930444 $/Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (deleted)
353.a.. -/rrwxrwxrwx 0 0 22930449 /Game of Thrones 3 720p x264 DDP 5.1 ESub 3 (deleted)
Fri Jan 31 2020 00:00:00 33180.a.. r/rrwxrwxrwx 0 0 45 /MINUTES OF PC-I HELD ON 23.01.2020.docx
Fri Jan 31 2020 12:20:38 33180 m... r/rrwxrwxrwx 0 0 45 /MINUTES OF PC-I HELD ON 23.01.2020.docx
Fri Jan 31 2020 12:21:03 33180...b r/rrwxrwxrwx 0 0 45 /MINUTES OF PC-I HELD ON 23.01.2020.docx
Mon Feb 17 2020 14:36:44 46659 m... r/rrwxrwxrwx 0 0 49 /MINUTES OF LEC HELD ON 10.02.2020.docx (deleted)
46659 m... r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (deleted)
Tue Feb 18 2020 00:00:00 46659.a.. r/rrwxrwxrwx 0 0 49 /Game of Thrones 2 720p x264 DDP 5.1 ESub -(deleted)
38208.a.. r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (deleted)
Tue Feb 18 2020 10:43:52 46659...b r/rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208...b r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (deleted)
46659...b r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (deleted)
38208...b r/rrwxrwxrwx 0 0 55 /MINUTES OF LEC HELD ON 10.02.2020.docx
Tue Feb 18 2020 11:13:16 38208 m... r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (deleted)
46659.a.. r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (deleted)
38208.a.. r/rrwxrwxrwx 0 0 55 /MINUTES OF LEC HELD ON 10.02.2020.docx
Tue Feb 18 2020 10:43:52 46659...b r/rrwxrwxrwx 0 0 49 /Game of Thrones 1 720p x264 DDP 5.1 ESub -
38208...b r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (deleted)
46659...b r/rr-xr-xr-x 0 0 51 /_WRL0024.tmp (deleted)
38208...b r/rrwxrwxrwx 0 0 55 /MINUTES OF LEC HELD ON 10.02.2020.docx
Tue Feb 18 2020 11:13:16 38208 m... r/rrwxrwxrwx 0 0 50 /_WRD3886.tmp (deleted)
38208 m... r/rrwxrwxrwx 0 0 55 /Game of Thrones 3 720p x264 DDP 5.1 ESub -
Fri May 15 2020 00:00:00 4096.a.. d/drwxrwxrwx 0 0 57 /New folder (deleted)
4096.a.. d/drwxrwxrwx 0 0 63 /tender notice for network infrastructure equipment for IIUI (deleted)
56775.a.. r/rrwxrwxrwx 0 0 67 /TENDER NOTICE (Mega PC-I) Phase-II.docx (deleted)
56783.a.. r/rrwxrwxrwx 0 0 68 /_WRD2343.tmp (deleted)
56775.a.. r/rr-xr-xr-x 0 0 69 /_WRL2519.tmp (deleted)
56783.a.. r/rrwxrwxrwx 0 0 73 /TENDER NOTICE (Mega PC-I) Phase-II.docx
Fri May 15 2020 12:39:42 4096...b d/drwxrwxrwx 0 0 57 /New folder (deleted)
4096...b d/drwxrwxrwx 0 0 63 /tender notice for network infrastructure equipment for IIUI (deleted)
Fri May 15 2020 12:39:44 4096 m... d/drwxrwxrwx 0 0 57 $$bad_content 3(deleted)
4096 m... d/drwxrwxrwx 0 0 63 /tender notice for network infrastructure equipment for IIUI (deleted)
Fri May 15 2020 12:43:18 56775 m... r/rrwxrwxrwx 0 0 67$$bad_content 1 (deleted)
56775 m... r/rr-xr-xr-x 0 0 69 /_WRL2519.tmp (deleted)
Fri May 15 2020 12:45:01 56775...b r/rrwxrwxrwx 0 0 67 $$bad_content 2 (deleted)
56783...b r/rrwxrwxrwx 0 0 68 /_WRD2343.tmp (deleted)
56775...b r/rr-xr-xr-x 0 0 69 /_WRL2519.tmp (deleted)
56783...b r/rrwxrwxrwx 0 0 73 /TENDER NOTICE (Mega PC-I) Phase-II.docx
Fri May 15 2020 12:45:36 56783 m... r/rrwxrwxrwx 0 0 68 windump.exe (deleted)
56783 m... r/rrwxrwxrwx 0 0 73 /TENDER NOTICE (Mega PC-I) Phase-II.docx
Semua file harus dipulihkan dengan stempel waktu di dalamnya dalam format yang dapat dibaca manusia di file “usb.mactime.”
Alat untuk Analisis Forensik USB
Ada berbagai alat yang dapat digunakan untuk melakukan analisis forensik pada drive USB, seperti: Sleuth Kit Autopsy, FTK Imager, Foremost, dll. Pertama, kita akan melihat alat Autopsy.
Autopsi
Otopsi digunakan untuk mengekstrak dan menganalisis data dari berbagai jenis gambar, seperti gambar AFF (Advance Forensic Format), gambar.dd, gambar mentah, dll. Program ini adalah alat yang ampuh yang digunakan oleh penyelidik forensik dan lembaga penegak hukum yang berbeda. Otopsi terdiri dari banyak alat yang dapat membantu penyidik untuk menyelesaikan pekerjaan secara efisien dan lancar. Alat Autopsi tersedia untuk platform Windows dan UNIX tanpa biaya.
Untuk menganalisis gambar USB menggunakan Autopsi, Anda harus terlebih dahulu membuat kasus, termasuk menulis nama penyelidik, merekam nama kasus, dan tugas informasi lainnya. Langkah selanjutnya adalah mengimpor gambar sumber dari drive USB yang diperoleh pada awal proses menggunakandd kegunaan. Kemudian, kami akan membiarkan alat Autopsi melakukan yang terbaik.
Jumlah informasi yang diberikan oleh Autopsy sangat besar. Autopsi menyediakan nama file asli dan juga memungkinkan Anda untuk memeriksa direktori dan jalur dengan semua info tentang file yang relevan, sepertiaccessed, modified, changed, date, dan time. Info metadata juga diambil, dan semua info diurutkan secara profesional. Untuk mempermudah pencarian file, Autopsy menyediakanKeyword Search opsi, yang memungkinkan user dengan cepat dan efisien mencari string atau nomor dari antara konten yang diambil.
Di panel kiri subkategori File Types, Anda akan melihat kategori bernama “Deleted Files” berisi file yang dihapus dari gambar drive yang diinginkan dengan semua informasi Metadata dan Analisis Garis Waktu.
Otopsi adalah Graphic User Interface (GUI) untuk alat command lineSleuth Kitdan berada di level teratas di dunia forensik karena integritasnya, keserbagunaannya, sifatnya yang mudah digunakan, dan kemampuannya untuk menghasilkan hasil yang cepat. Forensik perangkat USB dapat dilakukan dengan mudah diAutopsy seperti pada alat berbayar lainnya.
Pencitraan FTK
FTK Imager adalah alat hebat lain yang digunakan untuk pengambilan dan akuisisi data dari berbagai jenis gambar yang disediakan. FTK Imager juga memiliki kemampuan untuk membuat copyan gambar sedikit demi sedikit, sehingga tidak ada alat lain sepertidd atau dcfldddiperlukan untuk tujuan ini. Copyan drive ini mencakup semua file dan folder, ruang yang tidak terisi dan kosong, dan file yang dihapus yang tertinggal di ruang kosong atau ruang yang tidak terisi. Tujuan dasar di sini saat melakukan analisis forensik pada drive USB adalah untuk merekonstruksi atau membuat ulang skenario serangan.
Sekarang kita akan melihat melakukan analisis forensik USB pada gambar USB menggunakan alat FTK Imager.
Pertama, tambahkan file gambar ke FTK Imager dengan mengklik File >> Add Evidence Item.
Sekarang, pilih jenis file yang ingin Anda impor. Dalam hal ini, ini adalah file gambar dari drive USB.
Sekarang, masukkan lokasi lengkap file gambar. Ingat, Anda harus memberikan path lengkap untuk langkah ini. KlikFinish untuk memulai akuisisi data, dan biarkan FTK Imager melakukan pekerjaan. Setelah beberapa waktu, alat akan memberikan hasil yang diinginkan.
Di sini, hal pertama yang harus dilakukan adalah memverifikasi Image Integrity dengan mengklik kanan pada nama gambar dan memilih Verify Image. Alat ini akan memeriksa hash md5 atau SHA1 yang cocok dengan informasi gambar, dan juga akan memberi tahu Anda apakah gambar telah diubah sebelum diimpor keFTK Imager alat.
Sekarang, Export hasil yang diberikan ke jalur pilihan Anda dengan mengklik kanan nama gambar dan memilih Exportpilihan untuk menganalisisnya. ItuFTK Imager akan membuat log data lengkap dari proses forensik dan akan menempatkan log ini di folder yang sama dengan file gambar.
Analisis
Data yang dipulihkan dapat dalam format apa pun, seperti tar, zip (untuk file terkompresi), png, jpeg, jpg (untuk file gambar), mp4, format avi (untuk file video), barcode, pdf, dan format file lainnya. Anda harus menganalisis metadata dari file yang diberikan dan memeriksa kode batang dalam bentuk aQR Code. Ini bisa dalam file png dan dapat diambil menggunakanZBAR alat. Dalam kebanyakan kasus, file docx dan pdf digunakan untuk menyembunyikan data statistik, sehingga harus tidak dikompresi.Kdbx file dapat dibuka melalui Keepass; password mungkin telah disimpan di file lain yang dipulihkan, atau kami dapat melakukan bruteforce kapan saja.
Terutama
Foremost adalah alat yang digunakan untuk memulihkan file dan folder yang dihapus dari gambar drive menggunakan header dan footer. Kami akan melihat halaman manual Foremost untuk menjelajahi beberapa perintah kuat yang terkandung dalam alat ini:
[email protected]:~$ man foremost
-a Enables write all headers, perform no error detection in terms
of corrupted files.
-b number
Allows you to specify the block size used in foremost. This is
relevant for file naming and quick searches. default is
512. ie. foremost -b 1024 image.dd
-q (quick cara) :
Enables quick cara. In quick cara, only the start of each sector
is searched for matching headers. That is, the header is
searched only up to the length of the longest header. rest
of the sector, usually about 500 bytes, is ignored. This cara
makes foremost run considerably faster, but it may cause you to
miss files that are embedded in other files. For example, using
quick cara you will not be able to find JPEG images embedded in
Microsoft Word documents.
Quick cara should not be used when examining NTFS file systems.
Because NTFS will store small files inside the Master File Ta‐
ble, these files will be missed during quick cara.
-a Enables write all headers, perform no error detection in terms
of corrupted files.
-i (input) file :
file used with the i option is used as the input file.
In the case that no input file is specified stdin is used to c.
File yang digunakan dengan opsi i digunakan sebagai file input.
Dalam hal
tidak ada file input yang ditentukan, stdin digunakan untuk c.
Untuk menyelesaikan pekerjaan, kita akan menggunakan perintah berikut:
[email protected]:~$ foremost usb.dd
Setelah proses selesai, akan ada file di /output folder bernama text berisi hasil.
Kesimpulan
Forensik drive USB adalah keterampilan yang baik untuk mendapatkan kembali bukti dan memulihkan file yang dihapus dari perangkat USB, serta untuk mengidentifikasi dan memeriksa program komputer apa yang mungkin telah digunakan dalam serangan tersebut. Kemudian, Anda dapat mengumpulkan langkah-langkah yang mungkin telah diambil penyerang untuk membuktikan atau menyangkal klaim yang dibuat oleh user atau korban yang sah. Untuk memastikan bahwa tidak ada yang lolos dari kejahatan dunia maya yang melibatkan data USB, forensik USB adalah alat yang penting. Perangkat USB berisi bukti kunci dalam sebagian besar kasus forensik dan terkadang, data forensik yang diperoleh dari drive USB dapat membantu memulihkan data pribadi yang penting dan berharga.
