Upload
independent
View
1
Download
0
Embed Size (px)
Citation preview
LAPORAN
OSFORENSICS
1. Overview OSForensics
OSForensics adalah perangkat lunak serbaguna atau komputer forensik suite
lengkap yang dibuat oleh PassMarkSoftware. OSForensics memungkinkan Anda
mengekstrak bukti forensik dari komputer cepat dengan mencari file yang kinerja
tinggi dan kemampuan pengindeksan cepat. Pengguna dapat mengidentifikasi file
yang mencurigakan dan aktivitas dengan pencocokan hash, mendorong
perbandingan tanda tangan, e-mail, memori dan data biner. OSForensics
memungkinkan pengguna untuk mengelola investigasi digital mereka dan
membuat laporan dari data forensik yang dikumpulkan.
Tidak seperti banyak program komputer forensik lainnya, OSForensics termasuk
kemampuan imaging, penampil registry, seorang kolektor memori RAM,
peramban file sistem dan banyak fitur lainnya, semua dalam satu alat. OSForensic
juga dapat diinstal dan berlari dalam kapasitas penuh dari USB thumbdrive.
OSForensics datang dalam dua jenis lisensi: versi gratis dan versi Professional.
Versi gratis adalah fitur terbatas.
Beberapa fitur termasuk: Browse VSC ini, Recoverfile dihapus, data mengukir,
Indexing, Sistem File Browser, FileViewer, Email Viewer, RawDiskViewer, Web
Browser, Lihat .ese DB SQLite Browser, Gambar drive, Gunung Gambar,
Kegiatan Terbaru , PrefetchViewer, Event Log Viewer, RegistryViewer,
passwordExtractor, CustomHashSets Manajemen Kasus, Sistem Informasi,
Gambar HPA / DCO, Laporan HTML, RebuildArray RAID, ThumbcacheViewer,
TimelineViewer, RAM Gambar, MemoryViewerSignatureSnapshots, Signature
perbandingan, Forensik Copier, Install untuk USB.
OSForensics Bersertifikat Pemeriksa (OCE) - Perusahaan ini menawarkan kursus
pelatihan online untuk mempersiapkan siswa untuk mengambil dan lulus tes
OSForensics sertifikasi untuk mencapai OSForensics Bersertifikat Pemeriksa
(OCE) penunjukan.
PassMark® SoftwarePty Ltd adalah grup pengembangan perangkat lunak milik
pribadi dengan kantor pusat di Sydney, Australia dan kantor cabang di California,
Amerika Serikat.
PassMark mengkhususkan diri dalam pengembangan solusi kinerja benchmarking
kualitas tinggi serta memberikan jasa konsultasi TI independen ahli untuk klien
mulai dari organisasi pemerintah untuk kelas berat IT besar. PassMarkSoftware
adalah otoritas terkemuka dalam perangkat lunak dan perangkat keras
benchmarking kinerja dan pengujian.
Sejak awal mereka pada tahun 1998, PassMarkSoftware telah mengembangkan
berbagai komprehensif patokan dan diagnostik solusi PC yang digunakan di
seluruh dunia oleh ratusan ribu pengguna. Mereka telah mengalami pertumbuhan
yang konsisten dalam penjualan sejak peluncuran produk pertama mereka di bulan
Mei 1999.
Kakak mereka perusahaan, Wrensoft , telah mengembangkan sebuah perusahaan
mesin pencari kuat yang dikenal sebagai Zoom SearchEngine untuk digunakan
pada situs web perusahaan dan katalog CD. Zoom tetap populer dengan
masyarakat web sebagai, solusi kinerja tinggi biaya yang efektif untuk
menambahkan fungsi pencarian tanpa batas ke situs web bisnis.
PassMarkSoftware juga mengelola situs CPU patokan terbesar di dunia,
cpubenchmark.net. Situs ini memberikan pengguna akses ke hasil CPU patokan
untuk lebih dari 600.000 sistem yang mencakup lebih dari 1200 jenis CPU.
2. PEMBAHASAN FITUR
A. Case Management :
1. Create Case : berfungsi untuk memulai/membuat kasus baru untuk
mengelompokkan semua pencarian melalui fitur-fitur yang berbeda di
OSForensics.
Cara menggunakannya :
Startcreate case
Isi data pada jendela yang muncul
Case name : nama kasus
Investigator : nama penyelidik
Organization : nama organisasi atau instansi
Contact details : isikan informasi contact yang valid.
Timezone : wilayah waktu anda
Acquisition type : menetukan alat yang akan dipakai
Case folder tempat pengimpanan kasus.
Setelah itu klik OK.
Screenshoot :
2. Import Case : berfungsi untuk mengimport kasus sebelumnya untuk
Cara menggunakannya :
Start Pilih import
Kemudian browse folder case yang akan di import
Klik ok.
Screenshoot :
3. Generate Report : berfungsi untuk membuat laporan dalam bentuk HTML
isi dari kasus yang aktif.
Cara menggunakannya :
Start Pilih Generate Report
Kemudian akan muncul jendala export report, klik ok.
Kemudian akan muncul laporan dalam bentuk HTML pada jendela browser.
Screenshoot :
4. View Log : berfungsi untuk menampilkan aktivitas kejadian dalam bentuk log.
Cara menggunakannya :
Start Pilih View Log
Kemudian akan tampil Jendela Case activity log, pilih save.
Screenshoot :
B. File Searching & Indexing :
1. File Name search : berfungsi untuk mencari file disebuah direktory.
Cara menggunakannya :
Start Pilih File Name search
Isi search string dan start folder,
Kemudian klik search.
Note :
Search string : nama file yang akan dicari.
Presets : menentukan jenis data yang akan dicari
Start Folder : menetukan partici atau directory tempat file berada.
File list : daftar file yang ditemukan
Thumbnails : keterangan dari file
Timeline : waktu file dibuat terakhil kali.
Screenshoot :
2. Mismatch file search : berfungsi untuk mencari file-file yang tidak bisa
dibuka secara default atau rusak.
Cara menggunakannya :
Start Mismatch file search
Start folder : menentukan folder atau direktory yang dipilih untuk di scan.
Filter : untuk menentukan mode scan yang diterapkan.
Screenshoot:
3. Create Index : berfungsi untuk membuat index dari data data yang ada pada
directory agar dengan mudah dapat dicari.
Cara menggunakannya :
Start Pilih File Name search
Di step 1 pilih type file yang akan dicari
Step 2 pilih lokasi yang akan dicari
Step 3, isikan judul dan note indexnya
Kemudian klik start indexing
Step 4, diproses
Step 5,dalam pemrosesan dan tunggu sampai seslesai.
Note :
Use Pre-defined file types : memilih tipe atau jenis file yang akan dibuat
index pade sebuah direktory secara otomatis.
Use costum template (advanced) : membuat index dengan tempelate secara
manual.
Screenshoot :
4.
Search Within Files : berfungsi untuk mencari teks full dalam suatu file di
harddisk.
Cara menggunakannya :
Start Search Within Files
Kemudian klik search.
Screenshoot :
C.
C.
C.
C.
C.
C.
C.
C.
C.
C.
C.
C.
C.
Hashing & Files Identification :
1. New Hash Database : berfungsi untuk membuat sebuah hash database baru.
Biasanya berisikan kumpulan hash set, Hash set ini digunakan untuk baik
atau buruknya suatu file menggunakan MD5 dan SHA signature.
Cara Menggunakannya :
Start New Hash Database
Ketikkan Nama Database yang akan dibuat.
Klik ok.
ScreenShoot :
2. New Hash Set : berfungsi untuk membuat sebuah hash set baru yang
didalamnya terdapat hash database yang aktif.
Cara Menggunakannya :
Start New Hash Set
Isikan field yang ada dijendela new hash set
Klik Create.
Note :
Origin : File original. Tergantung ruang lingkup database ini yang bias lebih
spesifik seperti “Bill PC” or atau sebuah organisasi.
Product type : Tipe produk apa yang filenya berkaitan dengan contoh
pengolah kata,atau editor gambar.
Manufacture : Perusahaan atau orang yang membuat beberapa file tersebut.
Set type : Sebuah klasifikasi untuk set file. Contohnya baik atau buruk, dll.
OS : Sistem operasi yang berkaitan dengan file tersebut.
Set name : Nama yang akan diset untuk Hash Set.
Version : Versi dari file teserbut.
Language : Bahasa yang digunakan dalam file tersebut.
Folder : Direktori dimana mencari file yang ditambahkan di set. Semua Folder
dan SubFolder akan ditambahkan.
3. Create Hash : berfungsi untuk membuat hash atau mengubah file atau partisi
dalam bentuk hash.
Cara Menggunakannya :
Start Create Hash
Pilh File dan browse
Pilih hash function
Klik Calculate.
Note :
File : browse menggunakan file yang akan di buatkan hash nya.
Volume : untuk memlih drive yang akan di buatkan hash nya.
Text : menggunakan teks yang akan di buatkan hash nya.
Hash Fuction : untuk memilih tipe hash nya.
Screenshoot :
4. Create Signature : berfungsi untuk membuat tanda tangan pada sebuat
aplikasi.
Cara Menggunakannya :
Start Create Signature
Pilih folder yang akan dibuatkan signaturenya
Klik Start
Pilih Signature,kemudia klik save.
Screenshoot :
5.
Compare Signature : berfungsi untuk membandingkan tanda tangan yang alam
dan yang baru.
Cara Menggunakannya :
Start Compare Signature
Pilih file yang akan dibuka pada old signature
Pilih file yang akan dibuka pada new signature
Klik Compare.
Screenshoot :
D. Viewers :
1. File and Hex Viewer : berfungsi untuk
Cara Menggunakannya :
Start File and Hex Viewer
Pilih file , klik open.
Sreenshoot :
2. Memori viewer : berfungsi untuk menampilkan penggunaan memori dari
aplikasi yang sedang berjalan.
Cara
Menggunakannya :
Start Memori viewer
Akan muncul jendela warning
Klik centang dan klik ok.
Note :
Process info : menampilakan informasi tentang aplikasi yang dipilih dan
penggunaan memorinya.
Memori space : menampilkan penyimpanan yang digunakan aplikasi.
Memory layout : berfungsi untuk menampilkan penggunaan memory.
Sreenshoot
3. Raw Disk Viewer : berfungsi untuk menampilkan memori dalam bentuk
hex.
Cara Menggunakannya :
Start Raw Disk Viewer
Sreenshoot :
4. Registry viewer : berfungsi untuk menampilkan registry yang tersimpan di
komputer.
Cara Menggunakannya :
Start Registry viewer.
Pilih Drive atau browse file.
Pilih file yang akan dibuka
Klik ok.
Sreenshoot :
5. File system browser : merupakan penampil file system yang disediakan oleh
aplikasi untuk mempermudah.
Cara Menggunakannya :
Start File and Hex Viewer
6. SQlite DB Browser : berfungsi untuk menampilakan database SQL
Cara Menggunakannya :
Start File and Hex Viewer
Klik Load DB
Akan muncul jendela baru, pilih folder yang akan dibuka
Klik open.
7. Web Browser : merupakan browser internet yang disediakan oleh aplikasi
untuk menjelajahi internet.
Cara Menggunakannya :
Start Web Browser
Kemudian ketikkan alamat web yang akan dituju.
Tekan enter.
Sreenshoot :
8. Email Viewer : berfungsi untuk melihat segala sesuatu dari header pesan ke
berbagai format pesan yang disimpan atau tersedia (Text, HTML, Rich Text
Format).
Semua lampiran file juga dapat diekstraksi dari pesan e-mail diarsipkan yang
dipilih.
Cara Menggunakannya :
Start Email Viewer
Pilih file , klik open.
Sreenshoot :
9. Thumb Cache Viewer : berfungsi untuk melihat cache file thumb.
Cara Menggunakannya :
Start Thumb Cache Viewer
Pilih drive atau browse file, klik open.
Sreenshoot :
10. ESEDB Viewer : berfungsi untuk memperbolehkan user untuk mencari
rekaman database yang cocok dengan sebauh kriteria , termasuk frase kata,
jangkauan data dan nilai angka.
Cara Menggunakannya :
Start ESEDB Viewer
Pilih drive atau browse file, klik open.
Sreenshoot :
11. Prefetch viewer : untuke menampilan sampah dari hasil membuka aplikasi.
Dengan menggunakan informasi ini, forensik peneliti dapat menentukan pola
penggunaan aplikasi tersangka.
Cara Menggunakan :
Start Prefetch viewer
Note :
Drive : menentukan drive mana yang dipilih untuk di scan.
Mapped : menampilakan file yang ditemukan.
Mapped direktories : menampilan directory dari file yang di pilih.
Screenshoot :
E. System Artifacts & Password :
1. Deleted Files & Data Carving : berfungsi untuk mencari, menampilkan
serta merecovery file yang terhapus dari sebuah partisi atau directory.
Cara Menggunakannya :
Start Deleted Files & Data Carving
Pilih Disk atau drive yang akan di scan
Klik search.
Note :
Disc : tempat partici dimana file dihapus
Filter string : nama file yang akan dicari
Preset : menentukan jenis atau type file yang akan dicari.
Deleted file list : daftar file yang ditemukan.
Untuk menyimpan file yang terhapus :
Klik kanan save deleted file.. pilih folder tempat file disimpan.
Screenshoot :
2. Recent Activity : berfungsi untuk mencari dan menampilakn aktivitas
komputer yang terakhir.
Cara Menggunakannya :
Start Recent Activity
Pilih file , klik open.
Note :
Live acqusition of current mechine : langsung memperoleh data dari semua
drive yang ada.
Scan Drive : menentukan drive yang akan dicari aktivitas terakhirnya.
Sreenshoot :
3. System Information : berfungsi untuk menampilkan informasi system
komputer.
Cara Menggunakannya :
Start System Information
Pilih list dan klik go.
Sreenshoot :
4. Website Passwords : berfungsi untuk mencari passwords pada browser
yang ada pada computer.
Cara Menggunakannya :
Start Website Passwords
Pilih find browser passwords
Klik retrieve passwords
Sreenshoot :
5. Document Passwords : berfungsi untuk membuka dokumen-dokumen yang
diproteksi dengan password.
Cara Menggunakannya :
Start Document Passwords
Pilih add folder
Browse file hash atau masukkan hash
Klik Recorver Password
Sreenshoot :
F. Housekeeping :
1. Drive Imaging : pencitraan drive atau mengkopy drive.
Cara Menggunakannya :
Start Drive Imaging
Pilih Source Disk
Pilih Target Image File.
Note :
Source Disk : Lokasi penyimpanan yang akan dibuat copyan nya.
Target Image File : tempat copyan yang akan ditempati sebagai tempat save.
Sreenshoot :
2. Mount Drive Image : berfungsi untuk membuat virtuall drive baru
Cara Menggunakannya :
Start Mount Drive Image
Pilih sourcenya
Di file option set image file offset dan drive size.
Di mount option pilih huruf dan tipe drive.
Klik ok.
Sreenshoot :
3. Forensic Copy : berfungsi untuk mecopy isi atau file/folder ke suatu lokasi
barudengan dengan aman.
Cara Menggunakannya :
Start Forensic Copy
Pilih source directory
Pilih destination director, klik ok
Muncul warning
Klik start.
4. Install to USB : membuat sebuah copyan drive dari OSForensic on the go
(OTG) di USB.
Cara Menggunakannya :
Start Removable Drive Preparation
Pilih USB yang akan di install
Plih tipe installnya
Klik install
Note :
Evaluation : tipe free OSFroensics
Licensed : tipe full version OSForensics
Sreenshoot :