Searching...
July 30, 2012
Monday, July 30, 2012

[Digital Forensics] Working with Hexedit

Ada banyak sekali tools penetration testing di backtrack. Namun pikirkan ini, mengapa OS ini diberi nama backtrack? Secara harafiah, backtrack berarti:

Back (Inggris) = Kembali
Track (Inggris) = Lacak

Backtrack = Lacak balik

Namun, dengan tools exploitasi seperti ini, apakah benar backtrack dibuat untuk melacak balik? Tentu saja, selama ini saya hanya membagi cara menggunakan tools backtrack dari sisi buruknya. Artinya, tujuannya memang untuk melakukan penetrasi (Offensive). Bukan untuk bertahan (Defensive) atau untuk melacak balik si peretas (Backtrack / Traceback).

Kali ini saya akan berfokus pada digital forensics, dimana anda akan dibimbing untuk melakukan palacakan balik pada pelaku peretasan. Tidak perlu jauh-jauh, seperti melacak seseorang yang memformat hard disk anda. Saya akan mengajarkan pelacakan kebenaran sebuah file (dalam hal ini saya akan melacak sebuah foto).

Dengan melihat metadata dalam bentuk hexadecimal, kita bisa mencari tau kapan gambar ini diambil, dengan apa gambar in diambil, dengan HP atau WebCam, apakah gambar ini pernah diedit sebelumnya, dan lebih lanjut kita akan mencari siapa dalang dibalik pengunggahan foto-foto palsu di dunia maya.

Yang anda butuhkan hanya Hexedit
Pertama, anda harus mengetahui apa itu MD5sum. MD5sum adalah sebiah fingerprint (cap jari) sebuah berkas. Setiap file memiliki MD5sum yang unik, dimana MD5sum setiap file berbeda-beda dengan file yang lain. MD5sum dapat berubah jika isi dari file diubah. Perubahan MD5sum yang asli, harus dicurigai, karena mengubah isi dari file asli. Entah itu hanya diubah dari kepemilikan file tersebut, atau mengubah algoritma program itu sendiri. Sebagai contoh, saya akan menunjukan perubahan MD5sum pada file asli, dan file yang sudah di edit.

Command :
root@red-dragon:~touch README.txt

Perintah di atas digunakan untuk membuat file baru bernama README.txt tanpa isi. Kemudian kita cek MD5sum file ini dengan perintah:

Command :
root@red-dragon:~md5deep README.txt


Ok. MD5sum dari file ini adalah : d41d8cd98f00b204e9800998ecf8427e

Kemudian saya edit dengan perintah:

Command :
root@red-dragon:~echo "Owned by red-dragon" >> README.txt

Dan kita cek kembali MD5sum file ini :

Command :
root@red-dragon:~md5deep README.txt


w00t... MD5deep file ini telah berubah dari aslinya menjadi : 85499e73bc4f121f8c3b8a1a5bdb26b5

Ini adalah sebagian kecil dari pelacakan file pada OS backtrack. Sekarang kita ke bagian inti. Saya akan menyelidiki foto dari HP saya sendiri. Jadi saya coba mengungkap kebenaran pada foto ini. Apakah foto ini sudah diubah? Kapan foto ini diambil? Dan dengan apa foto ini diambil?

Saya tidak mengedit atau menamai ulang file ini. Sehingga MD5sum tidak berubah sejak file ini ditransfer ke backtrack saya. Anda dapat mendownload file tersebut di sini. Password arsip adalah "red-dragon"

Untuk meyakinkan anda, MD5sum dari file ini adalah 

Command :
root@red-dragon:~md5deep DSC00250.JPG

a35a00efce45f3df630bf74bdaf6cdbf


Sudah melihat file ini? Ya... Ini adalah gambar kue tart ulang tahun, surprise dari saya untuk mantan saya ketika ia berulang tahun yang ke 20, tanggal 30 Juni kemarin. Saya mengambil gambar ini dengan handphone Sony Ericsson J105i milik saya sendiri. Mari kita lihat benarkah gambar ini diambil dengan Sony Ericsson J105i pada tanggal 30 Juni?

Command :
root@red-dragon:~# hexedit DSC00250.JPG

Ok. Bagian ini menjelaskan dengan apa gambar diambil.

Sony Ericsson.J105i


w00t

Dan bagian ini menjelaskan kapan gambar ini diambil

2012:06:30 09:13:54 (30 Juni 2012 pukul 9:13:54 pagi)


w00t

You are soooooo
Trace back by
red-dragon

2 comment:

Post a Comment

 
Back to top!