LAPORAN

OSFORENSICS

1. Overview OSForensics

OSForensics adalah perangkat lunak serbaguna atau komputer forensik suite

lengkap yang dibuat oleh PassMarkSoftware. OSForensics memungkinkan Anda

mengekstrak bukti forensik dari komputer cepat dengan mencari file yang kinerja

tinggi dan kemampuan pengindeksan cepat. Pengguna dapat mengidentifikasi file

yang mencurigakan dan aktivitas dengan pencocokan hash, mendorong

perbandingan tanda tangan, e-mail, memori dan data biner. OSForensics

memungkinkan pengguna untuk mengelola investigasi digital mereka dan

membuat laporan dari data forensik yang dikumpulkan.

Tidak seperti banyak program komputer forensik lainnya, OSForensics termasuk

kemampuan imaging, penampil registry, seorang kolektor memori RAM,

peramban file sistem dan banyak fitur lainnya, semua dalam satu alat. OSForensic

juga dapat diinstal dan berlari dalam kapasitas penuh dari USB thumbdrive.

OSForensics datang dalam dua jenis lisensi: versi gratis dan versi Professional.

Versi gratis adalah fitur terbatas.

Beberapa fitur termasuk: Browse VSC ini, Recoverfile dihapus, data mengukir,

Indexing, Sistem File Browser, FileViewer, Email Viewer, RawDiskViewer, Web

Browser, Lihat .ese DB SQLite Browser, Gambar drive, Gunung Gambar,

Kegiatan Terbaru , PrefetchViewer, Event Log Viewer, RegistryViewer,

passwordExtractor, CustomHashSets Manajemen Kasus, Sistem Informasi,

Gambar HPA / DCO, Laporan HTML, RebuildArray RAID, ThumbcacheViewer,

TimelineViewer, RAM Gambar, MemoryViewerSignatureSnapshots, Signature

perbandingan, Forensik Copier, Install untuk USB.

OSForensics Bersertifikat Pemeriksa (OCE) - Perusahaan ini menawarkan kursus

pelatihan online untuk mempersiapkan siswa untuk mengambil dan lulus tes

OSForensics sertifikasi untuk mencapai OSForensics Bersertifikat Pemeriksa

(OCE) penunjukan.

PassMark® SoftwarePty Ltd adalah grup pengembangan perangkat lunak milik

pribadi dengan kantor pusat di Sydney, Australia dan kantor cabang di California,

Amerika Serikat.

PassMark mengkhususkan diri dalam pengembangan solusi kinerja benchmarking

kualitas tinggi serta memberikan jasa konsultasi TI independen ahli untuk klien

mulai dari organisasi pemerintah untuk kelas berat IT besar. PassMarkSoftware

adalah otoritas terkemuka dalam perangkat lunak dan perangkat keras

benchmarking kinerja dan pengujian.

Sejak awal mereka pada tahun 1998, PassMarkSoftware telah mengembangkan

berbagai komprehensif patokan dan diagnostik solusi PC yang digunakan di

seluruh dunia oleh ratusan ribu pengguna. Mereka telah mengalami pertumbuhan

yang konsisten dalam penjualan sejak peluncuran produk pertama mereka di bulan

Mei 1999.

Kakak mereka perusahaan, Wrensoft , telah mengembangkan sebuah perusahaan

mesin pencari kuat yang dikenal sebagai Zoom SearchEngine untuk digunakan

pada situs web perusahaan dan katalog CD. Zoom tetap populer dengan

masyarakat web sebagai, solusi kinerja tinggi biaya yang efektif untuk

menambahkan fungsi pencarian tanpa batas ke situs web bisnis.

PassMarkSoftware juga mengelola situs CPU patokan terbesar di dunia,

cpubenchmark.net. Situs ini memberikan pengguna akses ke hasil CPU patokan

untuk lebih dari 600.000 sistem yang mencakup lebih dari 1200 jenis CPU.

2. PEMBAHASAN FITUR

A. Case Management :

1. Create Case : berfungsi untuk memulai/membuat kasus baru untuk

mengelompokkan semua pencarian melalui fitur-fitur yang berbeda di

OSForensics.

Cara menggunakannya :

Startcreate case

Isi data pada jendela yang muncul

Case name : nama kasus

Investigator : nama penyelidik

Organization : nama organisasi atau instansi

Contact details : isikan informasi contact yang valid.

Timezone : wilayah waktu anda

Acquisition type : menetukan alat yang akan dipakai

Case folder tempat pengimpanan kasus.

Setelah itu klik OK.

Screenshoot :

2. Import Case : berfungsi untuk mengimport kasus sebelumnya untuk

Cara menggunakannya :

Start Pilih import

Kemudian browse folder case yang akan di import

Klik ok.

Screenshoot :

3. Generate Report : berfungsi untuk membuat laporan dalam bentuk HTML

isi dari kasus yang aktif.

Cara menggunakannya :

Start Pilih Generate Report

Kemudian akan muncul jendala export report, klik ok.

Kemudian akan muncul laporan dalam bentuk HTML pada jendela browser.

Screenshoot :

4. View Log : berfungsi untuk menampilkan aktivitas kejadian dalam bentuk log.

Cara menggunakannya :

Start Pilih View Log

Kemudian akan tampil Jendela Case activity log, pilih save.

Screenshoot :

B. File Searching & Indexing :

1. File Name search : berfungsi untuk mencari file disebuah direktory.

Cara menggunakannya :

Start Pilih File Name search

Isi search string dan start folder,

Kemudian klik search.

Note :

Search string : nama file yang akan dicari.

Presets : menentukan jenis data yang akan dicari

Start Folder : menetukan partici atau directory tempat file berada.

File list : daftar file yang ditemukan

Thumbnails : keterangan dari file

Timeline : waktu file dibuat terakhil kali.

Screenshoot :

2. Mismatch file search : berfungsi untuk mencari file-file yang tidak bisa

dibuka secara default atau rusak.

Cara menggunakannya :

Start Mismatch file search

Start folder : menentukan folder atau direktory yang dipilih untuk di scan.

Filter : untuk menentukan mode scan yang diterapkan.

Screenshoot:

3. Create Index : berfungsi untuk membuat index dari data data yang ada pada

directory agar dengan mudah dapat dicari.

Cara menggunakannya :

Start Pilih File Name search

Di step 1 pilih type file yang akan dicari

Step 2 pilih lokasi yang akan dicari

Step 3, isikan judul dan note indexnya

Kemudian klik start indexing

Step 4, diproses

Step 5,dalam pemrosesan dan tunggu sampai seslesai.

Note :

Use Pre-defined file types : memilih tipe atau jenis file yang akan dibuat

index pade sebuah direktory secara otomatis.

Use costum template (advanced) : membuat index dengan tempelate secara

manual.

Screenshoot :

4.

Search Within Files : berfungsi untuk mencari teks full dalam suatu file di

harddisk.

Cara menggunakannya :

Start Search Within Files

Kemudian klik search.

Screenshoot :

C.

C.

C.

C.

C.

C.

C.

C.

C.

C.

C.

C.

C.

Hashing & Files Identification :

1. New Hash Database : berfungsi untuk membuat sebuah hash database baru.

Biasanya berisikan kumpulan hash set, Hash set ini digunakan untuk baik

atau buruknya suatu file menggunakan MD5 dan SHA signature.

Cara Menggunakannya :

Start New Hash Database

Ketikkan Nama Database yang akan dibuat.

Klik ok.

ScreenShoot :

2. New Hash Set : berfungsi untuk membuat sebuah hash set baru yang

didalamnya terdapat hash database yang aktif.

Cara Menggunakannya :

Start New Hash Set

Isikan field yang ada dijendela new hash set

Klik Create.

Note :

Origin : File original. Tergantung ruang lingkup database ini yang bias lebih

spesifik seperti “Bill PC” or atau sebuah organisasi.

Product type : Tipe produk apa yang filenya berkaitan dengan contoh

pengolah kata,atau editor gambar.

Manufacture : Perusahaan atau orang yang membuat beberapa file tersebut.

Set type : Sebuah klasifikasi untuk set file. Contohnya baik atau buruk, dll.

OS : Sistem operasi yang berkaitan dengan file tersebut.

Set name : Nama yang akan diset untuk Hash Set.

Version : Versi dari file teserbut.

Language : Bahasa yang digunakan dalam file tersebut.

Folder : Direktori dimana mencari file yang ditambahkan di set. Semua Folder

dan SubFolder akan ditambahkan.

Screenshoot :

3. Create Hash : berfungsi untuk membuat hash atau mengubah file atau partisi

dalam bentuk hash.

Cara Menggunakannya :

Start Create Hash

Pilh File dan browse

Pilih hash function

Klik Calculate.

Note :

File : browse menggunakan file yang akan di buatkan hash nya.

Volume : untuk memlih drive yang akan di buatkan hash nya.

Text : menggunakan teks yang akan di buatkan hash nya.

Hash Fuction : untuk memilih tipe hash nya.

Screenshoot :

4. Create Signature : berfungsi untuk membuat tanda tangan pada sebuat

aplikasi.

Cara Menggunakannya :

Start Create Signature

Pilih folder yang akan dibuatkan signaturenya

Klik Start

Pilih Signature,kemudia klik save.

Screenshoot :

5.

Compare Signature : berfungsi untuk membandingkan tanda tangan yang alam

dan yang baru.

Cara Menggunakannya :

Start Compare Signature

Pilih file yang akan dibuka pada old signature

Pilih file yang akan dibuka pada new signature

Klik Compare.

Screenshoot :

D. Viewers :

1. File and Hex Viewer : berfungsi untuk

Cara Menggunakannya :

Start File and Hex Viewer

Pilih file , klik open.

Sreenshoot :

2. Memori viewer : berfungsi untuk menampilkan penggunaan memori dari

aplikasi yang sedang berjalan.

Cara

Menggunakannya :

Start Memori viewer

Akan muncul jendela warning

Klik centang dan klik ok.

Note :

Process info : menampilakan informasi tentang aplikasi yang dipilih dan

penggunaan memorinya.

Memori space : menampilkan penyimpanan yang digunakan aplikasi.

Memory layout : berfungsi untuk menampilkan penggunaan memory.

Sreenshoot

3. Raw Disk Viewer : berfungsi untuk menampilkan memori dalam bentuk

hex.

Cara Menggunakannya :

Start Raw Disk Viewer

Sreenshoot :

4. Registry viewer : berfungsi untuk menampilkan registry yang tersimpan di

komputer.

Cara Menggunakannya :

Start Registry viewer.

Pilih Drive atau browse file.

Pilih file yang akan dibuka

Klik ok.

Sreenshoot :

5. File system browser : merupakan penampil file system yang disediakan oleh

aplikasi untuk mempermudah.

Cara Menggunakannya :

Start File and Hex Viewer

Pilih file , klik open.

Sreenshoot :

6. SQlite DB Browser : berfungsi untuk menampilakan database SQL

Cara Menggunakannya :

Start File and Hex Viewer

Klik Load DB

Akan muncul jendela baru, pilih folder yang akan dibuka

Klik open.

Sreenshoot :

7. Web Browser : merupakan browser internet yang disediakan oleh aplikasi

untuk menjelajahi internet.

Cara Menggunakannya :

Start Web Browser

Kemudian ketikkan alamat web yang akan dituju.

Tekan enter.

Sreenshoot :

8. Email Viewer : berfungsi untuk melihat segala sesuatu dari header pesan ke

berbagai format pesan yang disimpan atau tersedia (Text, HTML, Rich Text

Format).

Semua lampiran file juga dapat diekstraksi dari pesan e-mail diarsipkan yang

dipilih.

Cara Menggunakannya :

Start Email Viewer

Pilih file , klik open.

Sreenshoot :

9. Thumb Cache Viewer : berfungsi untuk melihat cache file thumb.

Cara Menggunakannya :

Start Thumb Cache Viewer

Pilih drive atau browse file, klik open.

Sreenshoot :

10. ESEDB Viewer : berfungsi untuk memperbolehkan user untuk mencari

rekaman database yang cocok dengan sebauh kriteria , termasuk frase kata,

jangkauan data dan nilai angka.

Cara Menggunakannya :

Start ESEDB Viewer

Pilih drive atau browse file, klik open.

Sreenshoot :

11. Prefetch viewer : untuke menampilan sampah dari hasil membuka aplikasi.

Dengan menggunakan informasi ini, forensik peneliti dapat menentukan pola

penggunaan aplikasi tersangka.

Cara Menggunakan :

Start Prefetch viewer

Note :

Drive : menentukan drive mana yang dipilih untuk di scan.

Mapped : menampilakan file yang ditemukan.

Mapped direktories : menampilan directory dari file yang di pilih.

Screenshoot :

E. System Artifacts & Password :

1. Deleted Files & Data Carving : berfungsi untuk mencari, menampilkan

serta merecovery file yang terhapus dari sebuah partisi atau directory.

Cara Menggunakannya :

Start Deleted Files & Data Carving

Pilih Disk atau drive yang akan di scan

Klik search.

Note :

Disc : tempat partici dimana file dihapus

Filter string : nama file yang akan dicari

Preset : menentukan jenis atau type file yang akan dicari.

Deleted file list : daftar file yang ditemukan.

Untuk menyimpan file yang terhapus :

Klik kanan save deleted file.. pilih folder tempat file disimpan.

Screenshoot :

2. Recent Activity : berfungsi untuk mencari dan menampilakn aktivitas

komputer yang terakhir.

Cara Menggunakannya :

Start Recent Activity

Pilih file , klik open.

Note :

Live acqusition of current mechine : langsung memperoleh data dari semua

drive yang ada.

Scan Drive : menentukan drive yang akan dicari aktivitas terakhirnya.

Sreenshoot :

3. System Information : berfungsi untuk menampilkan informasi system

komputer.

Cara Menggunakannya :

Start System Information

Pilih list dan klik go.

Sreenshoot :

4. Website Passwords : berfungsi untuk mencari passwords pada browser

yang ada pada computer.

Cara Menggunakannya :

Start Website Passwords

Pilih find browser passwords

Klik retrieve passwords

Sreenshoot :

5. Document Passwords : berfungsi untuk membuka dokumen-dokumen yang

diproteksi dengan password.

Cara Menggunakannya :

Start Document Passwords

Pilih add folder

Browse file hash atau masukkan hash

Klik Recorver Password

Sreenshoot :

F. Housekeeping :

1. Drive Imaging : pencitraan drive atau mengkopy drive.

Cara Menggunakannya :

Start Drive Imaging

Pilih Source Disk

Pilih Target Image File.

Note :

Source Disk : Lokasi penyimpanan yang akan dibuat copyan nya.

Target Image File : tempat copyan yang akan ditempati sebagai tempat save.

Sreenshoot :

2. Mount Drive Image : berfungsi untuk membuat virtuall drive baru

Cara Menggunakannya :

Start Mount Drive Image

Pilih sourcenya

Di file option set image file offset dan drive size.

Di mount option pilih huruf dan tipe drive.

Klik ok.

Sreenshoot :

3. Forensic Copy : berfungsi untuk mecopy isi atau file/folder ke suatu lokasi

barudengan dengan aman.

Cara Menggunakannya :

Start Forensic Copy

Pilih source directory

Pilih destination director, klik ok

Muncul warning

Klik start.

Sreenshoot :

4. Install to USB : membuat sebuah copyan drive dari OSForensic on the go

(OTG) di USB.

Cara Menggunakannya :

Start Removable Drive Preparation

Pilih USB yang akan di install

Plih tipe installnya

Klik install

Note :

Evaluation : tipe free OSFroensics

Licensed : tipe full version OSForensics

Sreenshoot :

5. Removable Drive Preparation : berfungsi untuk mengecek intergritas dari

semua penyimpanan untuk memastikan berjalan dengan baik.

Cara Menggunakannya :

Start Removable Drive Preparation

Klik start drive test.