Foundations of Digital Forensics
Essential Tools
Tujuan
- Mengidentifikasi tool-tool utama yang digunakan dalam investigasi DFIR
- Memahami fungsi dan kemampuan dari setiap tool
- Memilih tool yang tepat untuk tugas forensik tertentu
Tool-Tool Utama DFIR
1 Autopsy
Kemampuan:
- Analisis file system (NTFS, FAT, EXT, HFS+)
- Keyword searching
- Timeline analysis
- Hash filtering (NSRL)
- Analisis web artifact
- Analisis email
- Analisis registry
- Pemulihan deleted file
- Analisis media (gambar/video)
Use Case: Tool utama untuk pemeriksaan disk image. Ideal untuk analisis menyeluruh dengan antarmuka yang mudah digunakan.
Cara Membuka Case di Autopsy:
# Langkah-langkah membuka case
1. Buat case baru → Isi nama case dan direktori
2. Tambah data source → Pilih disk image (.E01, .dd, .raw)
3. Konfigurasi ingest module → Jalankan analisis otomatis
4. Periksa hasil → File system, artifact, timeline
2 FTK Imager
Kemampuan:
- Membuat forensic disk image (E01, AFF, dd)
- Mount image untuk akses read-only
- Preview file tanpa analisis penuh
- Capture memory (live RAM acquisition)
- Menghitung hash file dan image
- Mengekspor file dari image
Use Case: Tool pertama yang digunakan saat evidence acquisition. Wajib ada untuk membuat forensic image yang telah diverifikasi.
Cara Membuat Forensic Image:
# Langkah-langkah membuat forensic image
1. File → Create Disk Image
2. Pilih tipe sumber (Physical / Logical / Image)
3. Pilih format tujuan (E01 direkomendasikan)
4. Isi metadata case
5. Verifikasi hash setelah selesai
3 Volatility Framework
Kemampuan:
- Listing dan analisis process
- Enumerasi koneksi jaringan
- Analisis DLL dan modul
- Ekstraksi registry hive dari memory
- Deteksi malware (code injection, rootkit)
- Pembuatan timeline dari memory artifact
- Ekstraksi password hash
Plugin Utama (Volatility 3):
# Menampilkan daftar running process
vol -f memory.raw windows.pslist
# Menampilkan pohon process
vol -f memory.raw windows.pstree
# Menampilkan koneksi jaringan
vol -f memory.raw windows.netscan
# Mendeteksi injected code
vol -f memory.raw windows.malfind
# Menampilkan daftar DLL yang dimuat
vol -f memory.raw windows.dlllist
# Mengekstrak registry hive
vol -f memory.raw windows.registry.hivelist
# Dump memory process tertentu
vol -f memory.raw windows.memmap --pid <PID> --dump
4 The Sleuth Kit (TSK)
Kemampuan:
- Analisis lapisan file system
- Analisis volume system
- Pemulihan file
- Pembuatan timeline
- Hash database
- Pemeriksaan metadata
Perintah-Perintah Utama:
# Menampilkan daftar file dalam image
fls -r -o <offset> image.dd
# Menampilkan metadata file (inode)
istat -o <offset> image.dd <inode>
# Mengekstrak isi file
icat -o <offset> image.dd <inode> > extracted_file
# Membuat timeline
fls -r -m "/" -o <offset> image.dd > bodyfile.txt
mactime -b bodyfile.txt > timeline.csv
# Menampilkan info file system
fsstat -o <offset> image.dd
5 Wireshark
Kemampuan:
- Live packet capture
- Analisis file PCAP
- Deep packet inspection
- Disseksi protokol (1000+ protokol)
- Display filter dan capture filter
- Stream reassembly (TCP, HTTP, dll.)
- Ekstraksi file dari traffic jaringan
- Analisis statistik
Filter-Filter Penting:
# Display filter
ip.addr == 192.168.1.100 # Traffic ke/dari IP tertentu
tcp.port == 443 # Traffic HTTPS
http.request.method == "POST" # HTTP POST request
dns.qry.name contains "evil" # DNS query yang mengandung string
tcp.flags.syn == 1 && tcp.flags.ack == 0 # Hanya SYN packet
# Mengikuti stream
Klik kanan packet → Follow → TCP Stream
Klik kanan packet → Follow → HTTP Stream
# Mengekspor objek
File → Export Objects → HTTP / SMB / TFTP
6 KAPE (Kroll Artifact Parser and Extractor)
Kemampuan:
- Pengumpulan evidence secara cepat (target)
- Parsing artifact (modul)
- Ekstraksi registry artifact
- Pengumpulan event log
- Pengumpulan browser artifact
- Pengumpulan metadata file system
- Definisi target/modul yang dapat dikustomisasi
Contoh Penggunaan:
# Mengumpulkan artifact Windows umum
kape.exe --tsource C: --tdest D:\Evidence --target KapeTriage
# Mengumpulkan sekaligus memproses
kape.exe --tsource C: --tdest D:\Evidence --target KapeTriage --mdest D:\Processed --module !EZParser
# Target yang umum digunakan
# KapeTriage - Pengumpulan artifact secara menyeluruh
# RegistryHives - File Windows Registry
# EventLogs - Windows Event Log
# WebBrowsers - Riwayat dan data browser
7 Plaso (log2timeline)
Kemampuan:
- Parsing 100+ jenis artifact ke dalam unified timeline
- Mendukung disk image, file individual, dan direktori
- Output ke berbagai format (CSV, JSON, Elasticsearch)
- Integrasi dengan Timesketch untuk visualisasi
- Filter berdasarkan rentang tanggal, tipe sumber, atau keyword
Contoh Penggunaan:
# Membuat timeline dari disk image
log2timeline.py timeline.plaso image.E01
# Filter dan output ke CSV
psort.py -o l2tcsv timeline.plaso "date > '2024-01-01'" > timeline.csv
# Output ke Timesketch
psort.py --output-time-zone UTC -o timesketch timeline.plasoPerbandingan Tool
| Tool | Fungsi | Input | Output | Kompleksitas |
|---|---|---|---|---|
| Autopsy | Analisis disk | Disk image | Laporan, artifact | Rendah |
| FTK Imager | Imaging | Drive fisik/logikal | E01, dd image | Rendah |
| Volatility | Analisis memory | Memory dump | Data process/jaringan | Sedang |
| Sleuth Kit | Analisis file system | Disk image | File, timeline | Sedang |
| Wireshark | Analisis jaringan | File PCAP | Data protokol | Sedang |
| KAPE | Pengumpulan artifact | Sistem live/mounted | Artifact yang sudah di-parse | Rendah |
| Plaso | Pembuatan timeline | Berbagai sumber | Unified timeline | Sedang |
Latihan Praktik
- Install setiap tool yang disebutkan di atas pada forensic workstation kamu
- Verifikasi versi tool dan catat dalam lab notebook kamu
- Buat forensic image dari sebuah USB drive menggunakan FTK Imager
- Buka image tersebut di Autopsy dan lakukan analisis dasar
- Capture traffic jaringan dengan Wireshark selama 5 menit dan identifikasi protokol yang muncul
Referensi
- Autopsy: https://www.autopsy.com
- Volatility: https://www.volatilityfoundation.org
- Wireshark: https://www.wireshark.org
- KAPE: https://www.kroll.com/kape
- Plaso: https://plaso.readthedocs.io