Info Write up forensic challenge - Printable Version +- Indonesian Back|Track Team (https://www.indonesianbacktrack.or.id/forum) +-- Forum: Defensive Zone (https://www.indonesianbacktrack.or.id/forum/forum-173.html) +--- Forum: Forensics (https://www.indonesianbacktrack.or.id/forum/forum-166.html) +--- Thread: Info Write up forensic challenge (/thread-5985.html) |
Write up forensic challenge - tirtana - 09-08-2014 hello everyone ... akhirnya stelah bberapa hari,sudah ssatya merelease jawaban dari forensic challange "i challenge u in the blank question" check this --> forensic challenge kita akan membedah kasus tersebut (versi saya) [hide] pertama kita chek dulu file kita download untuk memastikan tidak corrupt Code: root@5h!n0b!:~/Downloads# md5sum image.zip yup... sama dengan yg di soal, lalu kita unzip file tersebut,ternyata hanya ada 1 file didalam image.zip tersebut. of course kita cek dlu, file apa itu,karena tnp extension. Code: root@5h!n0b!:~/forensic# file image langkah selanjutnya,menjawab dan menganalisa sesuai yang diminta. yang perlu di analisa dan dijelasin 1. skenario apa yang terjadi di dalamnya 2. tokoh di dalam skenario 3. recovery image tersebut 4. jelasakan bagaimana "hiding tekniknya" 5. tool yag digunakan untuk forensik, sesuai clueya "THINK OUT OF THE BOX" g mkin kita bisa menganalisa skenario yang terjadi didalamnya sebelum kita merecovery dan selanjutya menginvestigasi file tersbut. so kita skip nor 1. loncat ke nor 3. recovery file. saya disini akan meggunakan forensic suite --> autopsy "> see,,, di browser autopsy ternyata ada 3 file cover page.jpgc Jimmy Jungle.doc (deleted) Scheduled Visits.exe saatya kita examination 1 per satu file tersbut, cover page.jpgc apa yang ada dipkiran kalian pasti sama dengan dipikiran saya, file berformat "jpg" but the question is why *.jpgc berakhiran "c", sure ada sesuatu yang disembunyikan,.,kita innvestigasi mendalam disni saya akan mencoba masuk directory file cover page.jpgc nach akhirya sedikit ada titik terang, file tersbut benar berextensi *.jpg chek gambar, kita bisa juga mengecek details gambar tersbut Code: Details: kita tinggalkan dulu permasalahan ini sejenak ....dan mencoba mencari informasi dari file2 yang lain .. file kedua adalah.. jimmi jungle.doc di gambar browser autopsy bahwa jimmy jungle.doc tercentang merah, kemungkinan file tersbut adalah deleted file. dan kita msuk ke directory file.doc tersbut.. see.... benar adanya jika file tersbut berxtensi .doc details Code: Directory Entry: 5 sector dimulai dari 33 smpai 64 untuk melihat isi file terbsut dengan cara --> view contents and ASCII Strings (display) dan isi file.doc adalah Code: bjbj sedikit kita mendapatkan gambaran skenario ya,tpi sbgai profesional forensic investigator tidak scpat itu kita menyimpulkan. lalu dilanjutkan dengan file yang ketiga "> schedule visit.exe chek di gambar,, but WHAATTT THE PAAAARK???? jika kalian sadar, the file berextensi *.exe tapi kenapa di file type: bertuliskan --> (Zip archive data, at least v2.0 to extract) again "think out of the box"... kemingkinan ada file lain di file.exe tersbut yang sengaja di binding untuk mempersulit invetigasi,, but what?? and so how?? ikuti naluri saja,1000 jalan menuju roma, coba untuk export content file *.exe tersbut kita chek sekali lagi file.exe, setelah di export. Code: root@5h!n0b!:~/Downloads# file vol1-C..Scheduled.Visits.exe masih ttp sama, ..... skg cek strings file.exe, Code: root@5h!n0b!:~/Downloads# strings vol1-C..Scheduled.Visits.exe naachhh,,,, kita mendapatkan informasi lainya,bahwa file.exe tersbut sebanrya adalah file.zip yang didalamnya tersimpan file Scheduled Visits.xls vol1-C..Scheduled.Visits.exe --> Schedule.visit.zip --> Scheduled Visits.xls hihihi...... sekarg semua file sudah terinvestigasi, cover page.jpgc v --> coverpage.jpg Jimmy Jungle.doc (deleted) --> Jimmy jungle.doc Scheduled Visits.exe --> Shcedule Visit.xls dan saatya mengextract/merecovery file tersebut dalam bentuk aslinya paling tidak kita sudah tau gambaran file apa yang dlam file image. untuk proses recovery saya menggunakan foremost, kesukaan saya,,, klo ada job recovery2 data,, hihihih so,, Code: root@5h!n0b!:~/forensic# foremost -v -c /etc/foremost.conf -i image -o /root/forensic/IBT dan hasilnya ............................ Code: Foremost version 1.5.7 by Jesse Kornblum, Kris Kendall, and Nick Mikus dan setelah di extract kita mendapatkan 3 file, persis sama yang kita investigasi sebelumnya dan dengan extensi yang sebenrya... Code: root@5h!n0b!:~/forensic/IBT# ls -l saya masih penasaran dengan file zipya so kita buka saja, Code: root@5h!n0b!:~/forensic/IBT/zip# unzip 00000104.zip ternyata belum usai perjuangan kita,, hErrr......... saatya kita mencari password ya kita review file doc ya sapa tau ada informsi tntag pssword cek dalam paragraph terakhir " I emailed you the schedule --> (kemungkinan adalah file scedule.xls) that I am using. I think it helps me cover myself and not be predictive. Tell me what you think. To open it, use the same password that you sent me before with that file. Talk to you later." skali lagi "think out of the box" think...think...think... posisikan diri kita sebgai pelaku/joe jika saya sbgai joe,passwrd akan disimpan di file.jpg dengan teknik stenography okey kita cek file.jpg ya gunakan exiftool untuk mengecek metadata,sapa tau disimpan di metadata Code: root@5h!n0b!:~/forensic/IBT/jpg# exiftool 00000073.jpg nothing di metadata,hanya informasi umum kita coba dengan cara yang lain chek dengan stenogram dan hasilya pun sama, chek lagi lagi dan lagi,end never give up. "TRY HARDER" ups,,teringat ketika menginvestigasi file.exe yg ternyata adalah file.zip kita gunakan strings Code: oot@5h!n0b!:~/forensic/IBT/jpg# strings 00000073.jpg dan hasilnya pun sama,nothing found,,,kembali ke browser autopsy kita analisa kembali file tersbut,, di browser autopsy pada gambar paling atas, terdapat 3 contenst .. and mentok dach... wait..wait file jimmijungle.doc yang warna merah adalah file yang di delete. dan 2 file cover.jpgc scedulevisit.exe adlah file utuh alias g didelete dari disket,seblum proses imaging kesimpulanya,FAT contets harusya hanya 2 terbagi dalam bebrap sektor. "> cek gambar di atas yang paling bawah di FAT ada 2 contents 73-103 (31) -> EOF 104-108 (5) -> EOF yang kemungkinan adalah cover.jpg dan scedulevisit.exe jalan satu2ya adalah chek 1 per 1. klik fat content sector antara 73-103 ,cek gambar dan langsung strings dalam bentuk ASCII,stelah dteliti scrool kebwah, terbitlah terang, password ditemukan.. ha..ha...ha.. PW=goodtimes ato bisa di export dl lalu, "> Code: root@5h!n0b!:~/Downloads# strings vol1-Sector73.raw dan hasilya pun sama,di slack space bwah sendiri, then, unzip file Code: root@5h!n0b!:~/forensic/IBT/zip# unzip 00000104.zip semua sudah tergambar jelas dan utuh. saatya menjawab pertayaan :- 1. skenario apa yang terjadi di dalamnya. -----> point 20 jawaban: what : dalam proses investigasi di temukan adlah ini kasus narkoba/penjualan marijuana -->menurut file.doc who : oleh joe dan jimmy --> menurut file.doc who : korban adalah anak2 sekolah --> sesuai dokumen file.doc paragraph 2 where : kasus ini terjadi di NY sesuai alamat di file.doc -->sesuai dokumen file.doc where : lokasi penjualan di SMA2 yang terterta di dokumen.xls when : penjualan sudah terencana dan terjdwal lihat dokumen.xls why : probably money oriented /wanna enterprenur/distributor of the year 2.tokoh dalam kasus tersebut -----> point 20 joe dan jimmy 3. recover file tersebut ---> point 20 -- done -- 4. jelaskan hidding tekniknya --> point 20 file.doc di hapus cover.jpgc : manipulasi sector yang seharusya di 73-103 di ubah ke sector 451 chek di browser autopsy shcedule.exe : manipulasi di extension untuk mempersulit investigasi teknik kemungkinan menggunakan binding (40%) 5. tool yang digunakan --> -- forensik suite autopsy -- exiftool -- stenosolve -- foremost pemenang, akan di hbungi lwat PM, dan semua partisipan akan mendpatkan sedikit bingkisan dari saya, terima kasih sudah mencoba,, kita tidak tau tau kemampuan dan skill kita jika kita tdak pernah mencoba.. keputusan tidak bisa diganggu gugat. jika ada yang salah dan kekeliruan mohon maklum, always " Think out of the box" and "TRY HARDER" bulan depan, insya allah akan ada lagi forensik challenge yang lebih menantang dan berhadiah lebih besar hihihi,,, any question dont hesitate to contact me this is not about money, but about "Unlock our potentially" refrensi : honeynet.org Indonesia Digital forensik www.sleutkit.org/autopsy www.google.com www.hackthisite.org www.xsanlahci.org dris-spy.blogspot.co.at[/code] [/hide] RE: Write up forensic challenge - wine trochanter - 09-08-2014 kerenn kuis nya sampai sampai ane gk mengerti RE: Write up forensic challenge - iKONspirasi - 09-08-2014 widiih manteb bener nih bro, sekali2 bikin tutor tools forensik dong, masih byk yg awam nih termasuk saya. tks udah share disini, +2 rasanya masih kurang RE: Write up forensic challenge - 5forA - 09-08-2014 sumpah ini super,... dijelasin sejelas2nya + ada cerpen nya .... kwkwkw.... ane kirim teh es 1 dah om,... RE: Write up forensic challenge - czeroo_cool - 09-08-2014 Shut up and take my +2 Reputation RE: Write up forensic challenge - ardias2012 - 09-10-2014 luar biasa penjelasanya, mantab bro, thx sharenya maju terus IBT RE: Write up forensic challenge - dunkenciels - 10-07-2014 Deleted RE: Write up forensic challenge - abdilahrf - 10-08-2014 +2 keren sekali om skenario dan challange nya (Y) (Y) |