السَّلاَمُ عَلَيْكُمْ وَرَحْمَةُ اللهِ وَبَرَكَاتُهُ
Alhamdulillah pada kesempatan kali ini penulis masih diberi kesempatan membuat postingan yang berisi bagaimana menjawab soal FEDA yang berjudul “evidence02.pcap” dimana soalnya sebagai berikut.
After being released on bail, Ann Dercover disappears! Fortunately, investigators were carefully monitoring her network activity before she skipped town.
“We believe Ann may have communicated with her secret lover, Mr. X, before she left,” says the police chief. “The packet capture may contain clues to her whereabouts.”
You are the forensic investigator. Your mission is to figure out what Ann emailed, where she went, and recover evidence including:
- What is Ann’s email address?
- What is Ann’s email password?
- What is Ann’s secret lover’s email address?
- What two items did Ann tell her secret lover to bring?
- What is the NAME of the attachment Ann sent to her secret lover?
- What is the MD5sum of the attachment Ann sent to her secret lover?
- In what CITY and COUNTRY is their rendez-vous point?
- What is the MD5sum of the image embedded in the document?
Dalam menjawab soal ini penulis menggunakan Wireshark 1.12.4 dan NetworkMiner 1.6.1 jika para blogger mau mencoba monggoo software download sendiri untuk file kasusnya bisa di download di SINI
Ok langsung saja ke TKP [^_^]
Tahapan awal adalah dengan membuka file evidence02.pcap dengan aplikasi Wireshark.
Gambar 1: Tahap 1
1). What is Ann’s email address?
Untuk mempermudah pencarian kita bisa langsung menuliskan perintah pada kolom Filter sebagi berikut.
“frame contains mail” kenapa mail bukan email karena sudah penulis coba ternyata tidak menemukan apa-apa makanya menggunakan kata kunci “mail” untuk mempermudah karena soalnya menanyakan emai.
Gambar diatas menjelaskan pencarian menggunakan Filter dengan menulis kode seperti diatas, setelah tampil seperti diatas maka langkah selanjutnya adalah melakukan klik kanan pada salah satu line seperti tulisan yang terblok dengan warna biru diatas kemudian mengklik “Follow TCP Stream” maka akan menghasilkan gambar seperti dibawah ini.
Pada gambar diatas dapat dilihat pada tulisan yang terblok warna biru bahwa email pengirim atau Ann’s adalah “sneakyg33k@aol.com“. Ok no satu sudah terjawab.
Jika menggunakan software NetworkMiner maka akan terlihat seperti berikut.
Dengan menggunkan software NetworkMiner soal no satu dan dua langsung terjawab, yaitu apa alamat email dan password Ann’s. Alamat email : sneakyg33k@aol.com Password : 558r00lz
2). What is Ann’s email password?
Dari gambar 4 diatas telah tertera password Ann’s adalah “558r00lz“, karena nomor dua sudah bisa terselesaikan dengan gambar 4 diatas maka kita langsung beranjak kenomor berikutnya.
3). What is Ann’s secret lover’s email address?
Jika menggunakan software Wireshark caranya adalah dengan menuliskan perintah “tcp.stream eq 1” pada kolom filter trus enter kemudian melakukan klik kanan pada line pertama, seperti gambar 2 diatas trus di Follow TCP Stream, maka akan mendapatkan hasil seperti berikut.
Jika menggunakan NetworkMiner akan terlihat seperti berikut.
Gambar 6: Email Kekasih Ann’s dan Temannya
Pada gambar diatas diketahui pada tulisan yang terblok warna biru bahwa email kekasih Ann’s adalah “mistersecretx@aol.com“
4). What two items did Ann tell her secret lover to bring?
Seperti cara menjawab soal nomor tiga yaitu dengan mengetikkan perintah yang sama, karena meseg yang Ann’s kirim yang berisi permintaan 2 item ke kekasihnya itu brada dibaris bawah pada jawaban no tiga, jika ditarik scroolnya kebawah maka akan terlihat seperti berikut.
Gambar 7: Permintaan 2 item Ann’s
Dari gambar diatas diketahui bahwa Ann’s mengirimkan meseg “Hi sweetheart! Bring your fake passport and a bathing suit. Address = attached. love, Ann”. pada gambar bisa diperhatikan pada tulisan yang terblok dengan warna biru.
5). What is the NAME of the attachment Ann sent to her secret lover?
Seperti cara menjawab soal nomor tiga dan empat yaitu dengan mengetikkan perintah yang sama, karena meseg yang Ann’s kirim yang berisi permintaan 2 item ke kekasihnya itu brada dibaris bawah pada jawaban no tiga dan empat, jika ditarik scroolnya kebawah maka akan terlihat seperti berikut.
Nama filenya dapat dilihat pada tulisan yang terblok dengan warna biru, yaitu “secretrendezvous.docx“
Jika menggunakan NetworkMiner maka akan terlihat seperti berikut.
Nama filenya bisa dilihat pada tulisan yang terblok dengan warna biru.
6). What is the MD5sum of the attachment Ann sent to her secret lover?
Untuk mendapatkan MD5sum dari file yang dikirim itu kita harus mengexstraknya dari file evidence02.pcap.
Seperti sebelumnya cara menjawab soal nomor 3,4 & 5 yaitu dengan mengetikkan perintah yang sama, karena filenya berada di bawahnya, jika ditarik scroolnya kebawah maka akan terlihat seperti berikut.
Ok kita langsung saja ke TKP. [^_^].
Jadi file yang akan dicopy adalah mulai dari tulisan yang terblok warna biru diatas sampai yang dibawah, tapi sebelumnya ini sebenarnya dua gambar jadi satu yang penulis sengaja crop supaya lebih jelas. Jika filenya suda diblok trus di copy kemudian paste pada Notepad++ untuk membukanya karena file tersebut terinkripsi. Text yang dicopy tadi trus hasil paste dapat dilihat pada gambar berikut.
Setelah melakukan paste maka langkah selanjutnya adalah mendecodenya lewat notepad++. Langkahnya bisa dilihat pada gambar berikut.
Gambar 13: Hasil Decode
Setelah melakukan Decode maka langkah selanjutnya adalah menyimpan file dengan nama dan format: “secretrendezvous.docx” Kemudian klik kanan file secretrendezvous.docx dan pilih Properties kemudian Checksums maka akan terlihat seperti dibawah ini.
Sebelumnya penulis sudah menginstal software HashCheckInstall-2.1.11 untuk melihat MD5sum, dan software ini langsung menyatu sama properties. Jadi MD5sum : 9e423e11db88f01bbff81172839e1923
7). In what CITY and COUNTRY is their rendez-vous point?
Untuk lebih jelasnya mari kita buka file secretrendezvous.docx tp sebelumnya penulis tampilkan dalam bentuk gambar isi dari file word tersebut.
Pada tampilan gambar diatas dapat diketahui bahwa Ann dan kekasihnya akan bertemu di kota Playa del Carmen, Mexico.
8). What is the MD5sum of the image embedded in the document?
Dalam menjawab pertanyaan ini penulis terlebih dahulu mengcopy file secretrendezvous.docx dan merubah type filenya menjadi “.ZIP” sehingga file gambar yang berada didalam file Word tersebut bisa dikeluarkan.
Dari gambar diatas dapat diketahui MD5sum dari gambar tersembunyi yang ada pada file word tersebut.
Sekian dari penulis, semoga bermanfaat…. Aamiin [^_^]
Ping balik: ANALISIS CRIME | DIGITAL FORENSICS
Caranya dengan mengcopy data yang ada di Wireshark stelah di Follow TCP Stream, kemudian di Paste ke Notepad++ dan blok semua tulisan kemudian di Base64 Decode dan Save dalam type.docx / .zip. Nah di notepad++ sudah ada Base64 Decode. pasilitas ini berada pada menu Plugins trus masuk ke sub menu MIME Tools.
SukaSuka