Selasa, 30 Oktober 2012

Tool dan Toolkit Forensik


 FORENSIK JARINGAN 

A.      Tool dan Toolkit Forensik

Tool dan toolkit merupakan seperangkat software, dan hardware pada beberapa kasus, untuk membantu  melakukan  proses  forensik.  Sistem  operasi  yang  digunakan  sangat  mempengaruhi pilihan toolkit forensik yang diperlukan. Tool forensik yang paling powerful adalah EnCase (untuk Windows, www.encase.com). Tetapi karena harganya cukup mahal (sekitar $2,500), sebagai alternatifnya digunakan Linux sebagai platform forensic, di mana tersedia tool gratis, lagipula berbagai sistem file disupport dengan Linux. Linux forensic tool memungkinkan melaksanakan analisa forensik pada Windows, Linux, BSD, DOS, dsb.
Sekumpulan  tool  forensik  berplatform  Linux dikenal dengan The Coroner’s Toolkit (TCTdan pelengkapnya adalah :
•   TCTUtils
•   Autopsy Forensic Browse

B.   The Coroner’s Toolkit (TCT)

TCT, dibuat oleh Dan Farmer dan Wietse Venema, merupakan sekumpulan tool berbasis Linux yang merupakan teknik yang powerful untuk mengumpulkan dan menganalisa data forensik. Tujuannya adalah merekonstruksi kejadian yang lalu dan memulihkan/recoveri  data yang terhapus. Toolkit ini dapat untuk menganalisa pada sistem online maupun offline.
TCT terdiri dari  sekelompok tool, yakni :

(1) grave-robber:   Menangkap berbagai tipe data secara cepat dan membuat MD5 hash untuk menjaga integritas data. Informasi yang ditangkap meliputi MAC time, file yang terhapus dan isi memori.
(2) mac-robber: mengganti grave-robber secara fungsional dengan membangkitkan MAC time.
(3)  pcat, ils, icat, filemencatat dan menganalisa proses dan data inode.

o Pcat mengkopi memori proses dari live system

o Ils    menampilkan informasi inode

o Icat  mengkopi file dengan nomor inode

o File  mengklasifikasi file dalam berbagai jenis.


(4) Unrm dan Lazarus : Memulihkan dan menganalisa unallocated disk blocks pada sistem file.
o Unrm : mengumpulkan informasi pada bagian sistem file yang tidak ditentukan
o Lazarrus : menganalisa data kasar pada unrm dan mengklasifikasikan jenis datanya
o Mactime   : digunakan untuk membuat time line tentang kapan file dimodifikasi, diakses atau dibuat.

C.   TCTUtils

Yaitu sekumpulan utility yang menambah fungsi dari TCT, terdiri dari :
(1) Bcat :menampilkan blok disk ke stdout
(2) Blockcalc memetakan image dd dan hasil unrm

(3) Fls  menampilkan file dan direktori yang telah dihapus

(4) Find-file menentukan file yang mana yang  dialokasikan inode

 D.   Autopsy Forensic Browser

Merupakan GUI front end ke TCT dan TCTUtils, di mana analis forensik bisa melihat- lihat dan menganalisa citra forensik pada file , blok dan inode, dan juga melakukan pencarian dengan keyword. Tool ini bisa digunakan sebagai alternatif dari tool forensik berbasis Windows, seperti EnCase.
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)