Cyber Crime atau Kejahatan di dunia-maya Menurut Kyle, Chang (2016) adalah Aktivitas Kejahatan yang menyerang dengan sengaja aset primer terhadap data dan/atau informasi dari pemilik-nya yang dalam hal siber disebut sebagai provider’s proprietary data assets. Sehingga aktivitas tersebut dapat dikategorikan sebagai suatu tindak kejahatan karena melakukan aktivitas illegal tanpa persetujuan pemilik data, menggunakan sarana berupa komputer, jaringan, ataupun basis data.   

Sementara Hill, Joshua B. & Marion, Nancy E. (2016) Mengatakan bahwa Cybercrime merupakan istilah yang sangat luas dan sering merujuk ke konsep yang berbeda-beda sehingga mengakibatkan masih terdapat banyak perdebatan mengenai arti yang tepat untuk cybercrime sendiri. Cyber Crime menurut Hill, bisa merupakan penyalahgunaan sistem komputer atau jaringan untuk melakukan aktivitas kejahatan dengan melakukan akses secara ilegal ke sistem komputer, intersepsi illegal, ataupun pengubahan data, atau penyalahgunaan perangkat elektronik. 

Klasifikasi Cybercrime

Hill, Joshua B. & Marion, Nancy E. (2016) membagi cybercrime berdasarkan target kejahatannya, seperti berikut :

Mind Mapping yang saya buat dapat didownload di sini.

History of Cybercrime

Referensi

TUGAS KELOMPOK :

- 17917201 _ Abdul Gani F. S. H. Lihawa

- 17917224 _ Tommy N. Manoppo 

Teknologi khususnya pada perangkat mobile telah memberikan pertumbuhan secara revolusioner selama 1 dekade terakhir. Ponsel tidak lagi hanya berfungsi sebagai alat komunikasi, tetapi juga menjadi sebuah portable komputer yang canggih. Smartphone dapat menyimpan berbagai kumpulan informasi pribadi didalamnya, hal ini dapat terjadi karena layanan pada smartphone yang semakin “powerful”, seperti adanya layanan berbasis lokasi (Location based services), Berbagi jaringan internet (tethering), pengenalan kata lewat suara (Intelligent voice). Semakin “powerful” sebuah smartphone membuat potensi digunakannya smartphone tersebut sebagai alat untuk melakukan tindak kejahatan atau aktivitas kriminal juga semakin tinggi. Mobile Forensic merupakan ilmu pengetahuan (science), dalam melakukan pemulihan terhadap bukti digital dari sebuah perangkat mobile, dengan menggunakan forensically-sound (teknik-teknik ataupun pengetahuan dalam hal forensik) yang telah diterima dalam ilmu digital forensik baik itu karena diatur sebagai teknik prosedural dan lazim digunakan ataupun karena telah “lulus” dalam suatu standar pengujian ilmiah.

Beberapa tahun terakhir ini, telah banyak penelitian yang dilakukan mengenai berbagai macam platform mobile forensic, skema akuisisi data, dan metode yang digunakan dalam melakukan ektraksi terhadap informasi pada data hasil akuisisi. Tetapi semakin banyaknya penelitian pada mobile forensic, juga secara tidak langsung membuat adanya pihak - pihak tertentu untuk mencari celah bagaimana suatu data atau informasi yang berpotensi dijadikan sebagai sebuah bukti ini menjadi “gugur” sebagai barang bukti, teknik - teknik ataupun alat ataupun software yang dapat digunakan untuk menggugurkan barang bukti inilah yang disebut sebagai anti-forensik.

Pada paper Nemanja et al (2016), Distefano et al membedakan anti-forensik menjadi beberapa jenis, yakni :

Hal ini bertujuan untuk membuat bukti tidak dapat digunakan sebagai  bukti pada saat penyelidikan.

Hal ini bertujuan untuk menyulitkan seorang analis / digital forensik / penyidik untuk menemukan barang bukti dengan cara mengurangi visibilitas bukti.

Hal ini bertujuan untuk meminimalisir “jejak” yang terdapat pada suatu bukti digital , sehingga seolah-olah ataupun dapat mengakibatkan tidak ada barang bukti yang ditemui. Analogi pada kasus kejahatan konvensional seperti penggunaan sarung tangan untuk melindungi agar fingerprint tidak tertinggal di lokasi kejadian. Biasanya dilakukan oleh penjahat profesional. 

Hal ini bertujuan untuk mengalihkan proses forensik sehingga seolah-olah bukti yang dianalisis merupakan suatu bukti yang berasal dari original source tetapi ternyata “versi lain” dari original source yang dibuat sedemikian sehingga menggiring informasi yang tidak benar akan bukti tersebut.

Sementara Kessler mengkategorikan anti-forensik menjadi empat group, yakni :

Penyembunyian data, penghapusan artefak atau jejak digital, trail obfuscation (untuk membuat bingung, dis-orientasi, dan mengalihkan proses pemeriksaan forensik terhadap suatu bukti) dan melakukan serangan terhadap proses-proses forensik atau tool forensik yang dapat dikatakan sebagai serangan balik bagi analis/examiner yang kemudian terpaksa melakukan hal non-prosedural pada bukti digital, sehingga menjadi senjata bagi pihak tersangka untuk mempertanyakan proses analisis yang dilakukan.

Pada smartphone yang non-root, informasi ataupun bukti dapat disembunyikan pada alokasi penyimpanan paling deep (dalam) pada memory dengan menggunakan aplikasi-aplikasi yang mensupport akan hal tersebut dan dapat mengembalikannya pada waktu tertentu. Biasanya disimpan dalam satu folder yang di-hidden, sehingga memungkinkan bukti tersebut dapat dihapus secara keseluruhan/massal dalam waktu yang cepat.

Teknik anti forensik dengan melakukan trail obfuscation tidak efektif dilakukan pada mobile devices. Dikarenakan anti-forensik pada smartphone misalnya, hanya berkaitan dengan data yang disimpan dalam perangkat itu sendiri, bukan ditujukan pada smartphone yang lain. (seperti aplikasi hidden-folder atau data). Jadi cara-cara yang tergolong sebagai trail obfuscation untuk membuat bingung dalam proses forensik misalnya mengubah nama file, tidak menjadi suatu masalah bagi examiner, karena mengubah nama file tidak berpengaruh dengan isi dari file tersebut.

Referensi :

NEMANJA D. MAČEK, PERICA ŠTRBAC, DUŠAN ČOKO, IGOR FRANC, and MITKO BOGDANOSKI . 2016. Android forensic and Anti-Forensic Techniques - A Survey. The Eighth  International Conferences on Business Information Security. Belgrade, Serbia.

Timestamp secara umum merupakan tag(menandai/mencatat) setiap aktivitas pada komputer yang kemudian disimpan menjadi log atau metadata. Apa yang disimpan ? Tag yang dimaksud adalah setiap kali adanya perubahan pada aktivitas komputer, maka waktu berubahnya yang akan dicatat.

Pada posting kali ini, timestamp lebih dikhususkan terhadap suatu file/data. Issue yang menjadi perhatian mengenai timestamp adalah apakah data log timestamp pada suatu data dapat di palsukan? Hal ini tentunya dapat menjadi tantangan bagi para examiner dalam melakukan analisis khususnya pada saat melakukan sinkronisasi waktu (epoch time) terhadap file atau data yang dijadikan sebagai bukti. Sehingga examiner dapat teliti untuk melihat apakah timestamp pada bukti telah mengalami perubahan secara disengaja sebagai upaya untuk menggugurkan bukti.

TIMESTOMP

Salah satu aplikasi yang digunakan untuk melakukan perubahan terhadap timestamp suatu file atau data adalah timestomp. Timestomp merupakan buatan James. C. Foster dan Vincent Liu. Aplikasi ini dapat dianggap sebagai satu tool anti-forensic. Timestomp dapat menghapus atau mengubah atau memodifikasi informasi terkait dengan timestamp pada suatu file/data/folder.

Pada File System generasi setelah FAT, yakni NTFS (New Technology FIle System) dan ReFS (The Resilient File System) Terdapat 4 (empat) date record yang berbeda pada satu file yang dikenal sebagai MACE Time. MACE Time pada generasi NTFS dan ReFS berada pada bagian $MFT (Master File Table). Jadi pada NTFS terdapat beberapa partisi seperti pada gambar berikut :

(source : Jonathan Adkins - NTFS and The Master File Table_on youtube.com)

$MFT akan menyimpan seluruh informasi yang terkait pada data yang tersimpan dalam alokasi NTFS, seperti nama file, direktori file, waktu, dan lainnya.

MACE TIME stand for :

(M) odified  : Tanggal ketika terjadi perubahan pada data itu sendiri. Misalnya penambahan pada isi data.

(A)ccesed  : Tanggal ketika file terakhir kali di akses. Hal yang perlu diperhatikan pada tanggal akses adalah, kadang tanggal akses berubah/terpengaruh ketika dipindai oleh antivirus atau sistem lainnya yang otomatis dapat melakukan akses terhadap data tersebut.

(C)reate  : Tanggal ketika file pertama kali dibuat dan disimpan dalam volume disk. Tanggal ini seharusnya tidak akan berubah, meskipun file tersebut di akses (membuka/menutup), diedit, dimodifikasi ataupun disimpan.

(E)ntry Modified : Atau biasa juga disebut sebagai MFT Entry Modified merupakan Tanggal khusus yang ada pada file system NTFS ataupun ReFS yang tidak ditampilkan di interface windows. MFT Entry Modified dapat dilihat dengan bantuan aplikasi third parties ataupun forensik seperti encase dan lainnya. Tanggal Entry Modified akan berubah jika informasi mengenai file pada $MFT diubah maka tanggal ini akan ikut berubah. Karena semua tanggal, nama file, ukuran file disimpan pada $MFT. Misalnya jika nama file diubah atau ukuran file berubah, maka tanggal Entry Modified juga berubah.

INTERESTING POINT PADA $MFT

(source : Dave Hull - Detecting Time Stamp Manipulation)

Hal yang menarik pada $MFT adalah data mengenai tanggal pada sebuah file tidak hanya disimpan satu kali pada alokasi memori. Pada $MFT dikenal istilah $Standard_Information ($SI) dan $File_Name($FN). Sehingga data tanggal pada file yang sama disimpan pada 2 lokasi yang berbeda yakni $SI dan $FN. Pada alokasi $FN ternyata hanya dapat mengalami perubahan pada system kernel, sementara $SI berubah ketika ada modifikasi di user level process. Jadi ketika ada perubahan data yang diubah menggunakan aplikasi anti-forensic seperti timestomp maka data pada $SI saja yang berubah, sementara data tanggal pada $FN tidak mengalami perubahan.

  

Contoh Kasus :

File Create

Saya coba membuat suatu file .txt pada drive F: seperti berikut :

Ketika data baru di buat maka, date untuk created,modified dan accessed akan terpengaruh, seperti pada gambar diatas.

File Modify

Saya mencoba melakukan modifikasi terhadap data dengan menambahkan text lalu menyimpannya, seperti berikut :

Pada gambar diatas, dapat dilihat bahwa date modified dan date accessed berubah ketika dilakukan perubahan terhadap isi data. Tetapi tidak semua perangkat yang menggunakan khususnya generasi windows XP keatas, date accessed-nya berubah ketika dilakukan modifikasi terhadap data.

Kenapa? Karena beberapa sistem windows pada Last Access Updatenya di set 0, yang berarti disable. Untuk mengeceknya dapat dilakukan sebagai berikut pada command prompt :

Untuk mengaktifkan last access update maka set menjadi 1.

File Copy

Saya melakukan copy file di direktori yang sama.

Maka data mengenai date Modified tidak berubah karena sifatnya inherited(diwariskan) dari file yang dicopy. Sehingga yang berubah adalah date created dan date accessednya.

MENCARI CELAH TIMESTOMP

Seperti yang telah dijelaskan sebelumnya, ternyata pada $MFT data tanggal pada file yang sama disimpan pada 2 lokasi yang berbeda yakni $SI dan $FN. Pada alokasi $FN ternyata hanya dapat mengalami perubahan pada system kernel, sementara $SI berubah ketika ada modifikasi di user level process. Jadi ketika ada perubahan data yang diubah menggunakan aplikasi anti-forensic seperti timestomp maka data pada $SI saja yang berubah, sementara data tanggal pada $FN tidak mengalami perubahan.

Oleh karena itu, kita akan membuktikan hal tersebut dengan melakukan ekstrakting terhadap $SI dan $FN dari $MFT pada direktori F:\ yang dipakai untuk menyimpan file cobaStamp.txt yang telah dibuat sebelumnya.

Langkah - langkahnya sebagai berikut :

1. Ubah seluruh data tanggal pada cobaStamp.txt yang awal mula :

Dengan menggunakan TimeStomp pada command prompt akan mengubah tanggal yang diinginkan, dalam hal ini saya melakukan set tanggalnya sebagai berikut :

Terlebih dahulu, download timestomp.exe kemudian pindahkan program tersebut ke Dekstop.

Lalu ketikkan timestomp pada command prompt untuk mengetahui apakah timestomp telah dapat digunakan dan memberikan petunjuk mengenai option penggunaannya, seperti berikut : 

Untuk mengubah keseluruhan tanggal pada data maka menggunakan option -z :

Saya mengeset tanggalnya menjadi Monday 01 January 2018 3:33:33 PM Sehingga data akan berubah tanggalnya seperti berikut :

2. Langkah berikutnya adalah melakukan ekstrak pada $MFT di direktori F: dengan cara sebagai berikut :

Saya menggunakan FTK Imager untuk memperoleh data $MFT. Maka Step nya adalah sebagai berikut :

Pada FTK Imager, Pilih File kemudian pilih Add Evidence Item…

Pilih Source dari Logical Drive.

Pilih Source dari Drive F yang merupakan tempat dari cobStamp.txt.

Di Evidence Tree pilih subfolder root (klik 2x), kemudian pada bagian kanan scrolling down hingga menemukan file $MFT, terdapat 2 file $MFT, yakni $MFT dan $MFTMirr (Mirror). Silahkan pilih yang file dengan nama $MFT saja. 

Kemudian pilih Export Files…

Pilih tempat penyimpanan file, simpan file tersebut di didesktop untuk lebih memudahkan, kemudian tunggu hingga proses export file selesai, maka akan muncul pop up window yang berisi keterangan jumlah bytes yang diexport.

Pada desktop, file tersebut ternyata tidak muncul, maka perlu dilakukan analisis list direktori menggunakan command prompt, seperti berikut :

Di list direktori pun file $MFT tidak ada, maka coba perintah attrib (attribute) :

File $MFT terdaftar di Desktop. Apa yang membuat file tersebut tidak terlihat ternyata karena file tersebut Tersembunyi (ditandai dengan keterangan SH/Hidden). 

Maka , clear SH pada file dengan perintah diatas.

Maka file akan tampak di desktop, ubah nama file menjadi MFT untuk memudahkan pada proses berikutnya.

3. Langkah berikutnya, file MFT tersebut belum dapat langsung dianalisa karena datanya masih tidak terstruktur dengan baik (time-line file), sehingga sulit untuk membacanya. Oleh karena itu perlu dilakukan konversi terlebih dahulu, agar data tersebut dapat dianalisis secara rapih, terstruktur dalam bentuk table (CSV). Salah satunya menggunakan program AnalyzeMFT .

Yang menjadi kesulitan adalah, AnalyzeMFT ini ber-ekstensi .PY, yang berarti program ini merupakan Raw-Script dari Python.

Sebenarnya pada windows dapat dibuka menggunakan Python Software Foundation, tetapi saya mencari informasi dan menemukan ternyata di linux (saya menggunakan Ubuntu 18.04 LTS yang di running di VB) Script AnalyzeMFT.py ini bisa langsung di run di Terminal dengan mendownload python versi terminal.    

AnalyzeMFT.py dapat di download di link berikut : https://github.com/dkovar/analyzeMFT

Jadi saya memutuskan untuk melakukan konversi terhadap data $MFT di terminal Linux Ubuntu.

File MFT yang ada diwindows saya pindahkan ke Linux dan mendownload sekaligus install analyzeMFT langsung di terminal.

Kemudian melakukan konversi file MFT yang berada di Desktop menjadi suatu file bernama output yang bertipe csv, seperti pada perintah di gambar atas.

Tunggu hingga konversi selesai (memang agak lama), dan file hasil konversi kemudian akan tampil di Desktop. File tersebut kemudian saya pindahkan lagi ke windows untuk dibuka di excel.

Terdapat ribuan record yang dicatat oleh $MFT dan berbagi atribut yang melekat pada file tersebut. Agar tidak membingungkan, maka saya coba memindahkan file cobaStamp.txt saja ke worksheet baru beserta atribute $SI dan $FN saja.

Dari file cobaStamp.txt dapat diketahui bahwa data pada $Standard Information untuk Creation date, Modif date, Access date, dan Entry date ternyata memang berubah (pada tabel highlight orange). Sementara pada $File Name untuk Creation date, Modif date, Access date dan Entry datenya tidak mengalami perubahan!

Dari hasil analisis yang didapatkan, indikasinya adalah file cobaStamp.txt dengan sengaja diubah data datenya (Creation, Modify, Access dan Entry date). Karena ada perbedaan antara $SI date dengan $FN date.

Setelah kita mengetahui pada postingan sebelumnya mengenai apa itu Occam Razor Principle ? Apa itu Alexiou Principle ? Bagaimana menerapkannya ? Nah kali ini, saya mencoba menerapkan kedua prinsip tersebut untuk mengetahui kira-kira dari beberapa asumsi atau dugaan awal yang dibentuk, mana yang akan dipilih sebagai asumsi yang paling mendekati “kebenaran” untuk mengungkap sebuah kasus dengan menggunakan pendekatan dari kedua prinsip tersebut.

Berikut merupakan kasus yang saya ambil sebagai contoh, dari website The HoneyNet Project yang dapat diakses pada http://old.honeynet.org/scans/scan24/

The Challenge :

The folks from Digital Forensic Research WorkShop have created a unique challenge for you. Your mission is to analyze a recovered floppy and answer the questions below. What makes this challenge unique, you will need to read the police report before continuing your challenge. Just like an investigation in the real world, you will have some background information and some evidence, but its up to you and your technical skills to dig up the answers. Below is the dd image of the recovered floppy. This is the image that will provide you the answers, providing you can 'extract' the data.

Make sure you check the MD5 checksum of your download before you unzip it.

------------------

Jika di terjemahkan, kira-kira challenge-nya begini :

Anggota team dari Digital Forensic Research Workshop memberikan tantangan yang unik untuk kamu! Misi kamu pada kasus ini adalah melakukan analisis terhadap sebuah floppy-disk yang ditemukan, dan kamu harus mengungkap dan menjawab pertanyaan yang telah disertakan dibawah ini. Apa yang membuat tantangan ini menjadi unik ? Karena ini seperti melakukan investigasi yang real, dimana juga disertakan laporan polisi yang kamu harus baca terlebih dahulu. Pada laporan tersebut terdapat informasi latar-belakang dan beberapa barang bukti, dan teknis dalam investigasi tidak dibatasi, sesuaikan dengan keterampilan kamu!

Data dibawah ini adalah hash value file bertipe dd yang menjadi pedoman kamu nantinya pada saat melakukan ekstrak data :

Pastikan kamu mengecek MD5 - checksum dari fie bukti diatas sebelum kamu melakukan unzip!

LAPORAN KEPOLISIAN - KASUS JOE JACOB

Joe Jacobs, 28 tahun, ditahan atas tuduhan menjual obat-obatan terlarang dengan target siswa SMA. Seorang petugas polisi sektor menyamar sebagai pembeli untuk menjebak Jacobs di tempat parkir Smith Hill - High School. Target mendekati polisi tersebut dan menawarkan ganja. Sebelum polisi memberi jawaban kepada target, target langsung mengeluarkan beberapa bungkusan diduga ganja untuk ditunjukkan kepada polisi tersebut. Target kemudian berkata, “Lihat barang ini, orang Kolombia tidak bisa menyuburkan lebih baik dari ini! Pemasok saya bukan cuma menjual tapi juga menumbuhkannya sendiri.

Target telah beberapa kali terlihat di berbagai kesempatan, sedang nongkrong di berbagai tempat parkir di sekolah-sekolah menengah atas sekitar pukul 2:30 siang, saat jam pulang sekolah. Guru-guru di beberapa sekolah juga telah melakukan kontak kepada kepolisian atas adanya target di lingkungan sekolah mereka, dan atas laporan dari pihak guru, ternyata memang terjadi peningkatan penggunaan narkoba di kalangan siswa mereka semenjak terlihatnya target di lingkungan sekolah.

Polisi membutuhkan bantuan unit Digital Forensik untuk mendapatkan bukti kuat, apakah Joe Jacobs memang telah menjual obat-obatan terlarang kepada siswa di sekolah lain selain di Smith Hill. Soalnya, tidak ada satu siswa-pun yang bersedia memberikan kesaksiannya untuk membantu polisi (Mengingat bahwa, di negara tersebut privasi sangat dijunjung tinggi, sehingga tidak bisa melakukan tindakan jika saksi secara pribadi tidak ingin dan menolak memberikan keterangan). Berdasarkan keterangan Jacobs yang sempat menyebut mengenai orang Kolombia, membuat polisi menyimpulkan bahwa ganja yang dimiliki oleh Jacobs ada pemasok/produsennya dan akan mendalami siapa orangnya.

Jacobs membantah menjual narkoba di sekolah lain selain di Smith Hill dan menolak untuk memberikan nama pemasok ganja tersebut. Jacobs juga memberikan bantahan terhadap apa yang dia katakan kepada polisi sektor yang menyamar tepat sebelum dilakukan penangkapan. Setelah mengeluarkan surat perintah penggeledahan dan melakukan penyelidikan di rumah tersangka, polisi memenukan lagi sejumlah kecil ganja. Selain itu polisi juga menyita sebuah floppy-disk yang dicurigai, tetapi anehnya tidak ada komputer dan/atau-pun media lain yang dapat mengakses floppy tersebut yang ada di dalam rumah.

First responder kemudian telah melakukan proses imaging terhadap floppy-disk tersangka dan memberikan salinnya kepada Anda. Mereka ingin anda menggali dan dapat memberikan jawaban atas pertanyaan yang telah disertakan. Polisi ingin anda mendapatkan informasi apapun itu yang mungkin akan membuktikan bahwa Joe Jacobs sebenarnya menjual narkoba di sekolah lain selain di Smith Hill. Juga mencoba mencari tahu kemungkinan terdapat informasi mengenai siapa pemasok ganja Joe Jacobs.    

Jaminan terdapat Jacob ditetapkan sebesar $10,000.-, karena khawatir Jacob melarikan diri, polisi ingin membuatnya dipenjara sesegera mungkin. Oleh karena itu, polisi ingin anda mendapatkan informasi yang kemudian dapat dijadikan bukti yang kuat untuk dihadapkan ke pengadilan paling lambat diserahkan pada 25 Oktober 2002. Mohon untuk menyertakan apa saja informasi yang diperoleh, proses dan teknik yang digunakan dan tindakan apa yang dilakukan tersangka dalam upaya menghilangkan bukti, baik itu menghapus/menyembunyikan/dan/atau mengubah data pada floppy-disk. Semoga Berhasil!

Perhatian : Setiap nama, lokasi dan situasi yang disajikan hanya settingan. Sehingga kemiripan nama/lokasi/dan/atau situasi apapun yang disebutkan adalah murni kebetulan.

Pertanyaan yang coba digalih oleh kepolisian :

1. Siapa pemasok marijuana(ganja) yang dimiliki oleh Joe Jacobs dan dimana lokasinya (alamat                pemasok) ?

2. Data penting apa yang diperoleh dari file coverpage.jpg dan mengapa data itu penting ?

3. Adakah informasi mengenai sekolah lain yang dijadikan sebagai sasaran Joe Jacobs dalam menjual      ganjanya selain Smith Hill ?

4. Pada setiap file, proses apa yang di lakukan oleh tersangka untuk menutupi kasus ini ?

5. Proses apa yang anda lakukan dan gunakan sebagai penyidik untuk memeriksa seluruh isi setiap        file ?

Dari pertanyaan tersebut, saya akan mencoba menjawab dan menyelesaikan salah satu dari pertanyaan diatas yang merupakan salah satu inti yang dapat membuka kasus ini, yakni :

Hal teknis yang saya lakukan :

Mengunduh file image.zip dan melakukan verifikasi terhadap integritas dari file tersebut ;

1.    Mengunduh file salinan hasil imaging dari link yang diberikan berikut http://old.honeynet.org/scans/scan24/image.zip menggunakan browser Google Chrome pada tanggal 26 Juli 2018. file tersebut berbentuk zip dengan nama image.

2.    Kemudian sebelum melakukan ekstrak terhadap file, saya menghitung dan mencocokkan nilai hash dari file untuk memastikan bahwa file yang saya peroleh tidak mengalami perubahan sedikitpun dan masih sama yang diperoleh oleh first responder sebelumnya.

Saya menggunakan aplikasi HashTab v6.0.0 dari vendor Implbits Software untuk menghitung MD5 dari file dengan hasil sebagai berikut :

Sehingga MD5 dinyatakan “Matched”.

3.  Langkah selanjutnya, saya membuka file zip menggunakan WinZip Version 1.0.700.1.

Isi dari file hanya 1, yaitu image dengan ukuran 1.40 MB.

Kemudian saya melakukan ekstrak ke drive F pada perangkat komputer saya.

--------

Berdasarkan analisa awal, file image bertipe .file yang mengindikasikan bahwa file tersebut merupakan file “generic” atau umum yang tidak memiliki ekstensi yang terikat dengan suatu program apapun yang ada di komputer yang sedang digunakan untuk mengaksesnya. Karena bertipe file, maka hal yang paling memungkinkan adalah membuka file tersebut menggunakan aplikasi text reader sederhana untuk melihat “kandungan” dari file tersebut yang dapat memberikan petunjuk untuk mengakses file tersebut.

1. Pada kasus ini saya menggunakan aplikasi wordPad bawaan windows 10 seperti yang terlihat dibawah ini :

Disclaimer : hasil text reading diatas tercapture tidak secara keseluruhan.

2. Hal penting yang didapati dari hasil text reading diatas, mengindikasikan file merupakan suatu file system dengan tipe FAT (File Allocation Table) yang berarti bahwa file tersebut digunakan sebagai suatu alokasi memory pada sistem berkas dan digunakan sebagai media penyimpanan. FAT12 berarti memiliki unit alokasi dengan batas 12-bit, jadi dapat meyimpan maksimum hingga 2^12 atau 4096 data dengan maksimum ukuran 32 MegaByte. 

 -----------

Hasil Mounted file disimpan di drive virtual bernama G: yang memberikan info mengenai path lokasi Image, ukuran dari direktori, hak akses, tipe dari file system, dan OS yang digunakan untuk membuat file system FAT tersebut mulanya.

Drive saya pada sistem komputer yang saya gunakan tertambah drive G: yang merupakan disk virtual. Sehingga isi file tersebut dapat diakses sekarang.