ANALISIS FILE .PCAP

السَّلاَمُ عَلَيْكُمْ وَرَحْمَةُ اللهِ وَبَرَكَاتُهُ

Alhamdulillah pada kesempatan kali ini penulis masih diberi kesempatan membuat postingan yang berisi bagaimana menjawab soal FEDA yang berjudul “evidence02.pcap” dimana soalnya sebagai berikut.

After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town.

“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief. “The packet capture may contain clues to her whereabouts.”

You are the forensic investigator. Your mission is to figure out what Ann emailed, where she went, and recover evidence including:

1. What is Ann’s email address?
2. What is Ann’s email password?
3. What is Ann’s secret lover’s email address?
4. What two items did Ann tell her secret lover to bring?
5. What is the NAME of the attachment Ann sent to her secret lover?
6. What is the MD5sum of the attachment Ann sent to her secret lover?
7. In what CITY and COUNTRY is their rendez-vous point?
8. What is the MD5sum of the image embedded in the document?

Dalam menjawab soal ini penulis menggunakan Wireshark 1.12.4 dan NetworkMiner 1.6.1 jika para blogger mau mencoba monggoo software download sendiri untuk file kasusnya bisa di download di SINI

Ok langsung saja ke TKP [^_^]

Tahapan awal adalah dengan membuka file evidence02.pcap dengan aplikasi Wireshark.

Gambar 1: Tahap 1

1). What is Ann’s email address?
Untuk mempermudah pencarian kita bisa langsung menuliskan perintah pada kolom Filter sebagi berikut.
“frame contains mail” kenapa mail bukan email karena sudah penulis coba ternyata tidak menemukan apa-apa makanya menggunakan kata kunci “mail” untuk mempermudah karena soalnya menanyakan emai.

Gambar 2: Tahap 2

Gambar diatas menjelaskan pencarian menggunakan Filter dengan menulis kode seperti diatas, setelah tampil seperti diatas maka langkah selanjutnya adalah melakukan klik kanan pada salah satu line  seperti tulisan yang terblok dengan warna biru diatas kemudian mengklik “Follow TCP Stream” maka akan menghasilkan gambar seperti dibawah ini.

Gambar 3: Hasil Tahap 2

Pada gambar diatas dapat dilihat pada tulisan yang terblok warna biru bahwa email pengirim atau Ann’s adalah “sneakyg33k@aol.com“. Ok no satu sudah terjawab.

Jika menggunakan software NetworkMiner maka akan terlihat seperti berikut.

Gambar 4: Password Ann’s

Dengan menggunkan software NetworkMiner soal no satu dan dua langsung terjawab, yaitu apa alamat email dan password Ann’s. Alamat email : sneakyg33k@aol.com Password : 558r00lz

2). What is Ann’s email password?

Dari  gambar 4 diatas telah tertera password Ann’s adalah “558r00lz“, karena nomor dua sudah bisa terselesaikan dengan gambar 4 diatas maka  kita langsung beranjak kenomor berikutnya.

3). What is Ann’s secret lover’s email address?

Jika menggunakan software Wireshark caranya adalah dengan menuliskan perintah “tcp.stream eq 1” pada kolom filter trus enter kemudian melakukan klik kanan pada line pertama, seperti gambar 2 diatas trus di Follow TCP Stream, maka akan mendapatkan hasil seperti berikut.

Gambar 5: Email Kekasih Ann’s

Jika menggunakan NetworkMiner akan terlihat seperti berikut.

Gambar 6: Email Kekasih Ann’s dan Temannya

Pada gambar diatas diketahui pada tulisan yang terblok warna biru bahwa email kekasih Ann’s adalah “mistersecretx@aol.com“

4). What two items did Ann tell her secret lover to bring?

Seperti cara menjawab soal nomor tiga yaitu dengan mengetikkan perintah yang sama, karena meseg yang Ann’s kirim yang berisi permintaan 2 item ke kekasihnya itu brada dibaris bawah pada jawaban no tiga, jika ditarik scroolnya kebawah maka akan terlihat seperti berikut.

Gambar 7: Permintaan 2 item Ann’s

Dari  gambar diatas diketahui bahwa Ann’s mengirimkan meseg “Hi sweetheart! Bring your fake passport and a bathing suit. Address = attached. love, Ann”. pada gambar bisa diperhatikan pada tulisan yang terblok dengan warna biru.

5). What is the NAME of the attachment Ann sent to her secret lover?

Seperti cara menjawab soal nomor tiga dan empat yaitu dengan mengetikkan perintah yang sama, karena meseg yang Ann’s kirim yang berisi permintaan 2 item ke kekasihnya itu brada dibaris bawah pada jawaban no tiga dan empat, jika ditarik scroolnya kebawah maka akan terlihat seperti berikut.

Gambar 8: Nama File

Nama filenya dapat dilihat pada tulisan yang terblok dengan warna biru, yaitu “secretrendezvous.docx“

Jika menggunakan NetworkMiner maka akan terlihat seperti berikut.

Gambar 9: Nama File

Nama filenya bisa dilihat pada tulisan yang terblok dengan warna biru.

6). What is the MD5sum of the attachment Ann sent to her secret lover?

Untuk mendapatkan MD5sum dari file yang dikirim itu kita harus mengexstraknya dari file evidence02.pcap.
Seperti sebelumnya cara menjawab soal nomor 3,4 & 5 yaitu dengan mengetikkan perintah yang sama, karena filenya berada di bawahnya, jika ditarik scroolnya kebawah maka akan terlihat seperti berikut.
Ok kita langsung saja ke TKP. [^_^].

Gambar 10: File Copy

Jadi file yang akan dicopy adalah mulai dari tulisan yang terblok warna biru diatas sampai yang dibawah, tapi sebelumnya ini sebenarnya dua gambar jadi satu yang penulis sengaja crop supaya lebih jelas. Jika filenya suda diblok trus di copy kemudian paste pada Notepad++ untuk membukanya karena file tersebut terinkripsi. Text yang dicopy tadi trus hasil paste dapat dilihat pada gambar berikut.

Gambar 11: Stelah Paste

Setelah melakukan paste maka langkah selanjutnya adalah mendecodenya lewat notepad++. Langkahnya bisa dilihat pada gambar berikut.

Gambar 12: Langkah Decode

Gambar 13: Hasil Decode

Setelah melakukan Decode maka langkah selanjutnya adalah menyimpan file dengan nama dan format: “secretrendezvous.docx” Kemudian klik kanan file secretrendezvous.docx dan pilih Properties kemudian Checksums maka akan terlihat seperti dibawah ini.

Gambar 14: MD5sum

Sebelumnya penulis sudah menginstal software HashCheckInstall-2.1.11 untuk melihat MD5sum, dan software ini langsung menyatu sama properties. Jadi MD5sum : 9e423e11db88f01bbff81172839e1923

7). In what CITY and COUNTRY is their rendez-vous point?

Untuk lebih jelasnya mari kita buka file secretrendezvous.docx tp sebelumnya penulis tampilkan dalam bentuk gambar isi dari file word tersebut.

Gambar 15: Secretrendezvous

Pada tampilan gambar diatas dapat diketahui bahwa Ann dan kekasihnya akan bertemu di kota Playa del Carmen, Mexico.

8). What is the MD5sum of the image embedded in the document?

Dalam menjawab pertanyaan ini penulis terlebih dahulu mengcopy file secretrendezvous.docx dan merubah type filenya menjadi “.ZIP” sehingga file gambar yang  berada didalam file Word tersebut bisa dikeluarkan.

Gambar 16: MD5 Gambar

Dari gambar diatas dapat diketahui MD5sum dari gambar tersembunyi yang ada pada file word tersebut.

Sekian dari penulis, semoga bermanfaat…. Aamiin [^_^]