Analisis Terhadap Perubahan Log Timestamp Pada Sebuah File/Data

10:48 AM


Timestamp secara umum merupakan tag(menandai/mencatat) setiap aktivitas pada komputer yang kemudian disimpan menjadi log atau metadata. Apa yang disimpan ? Tag yang dimaksud adalah setiap kali adanya perubahan pada aktivitas komputer, maka waktu berubahnya yang akan dicatat.

Pada posting kali ini, timestamp lebih dikhususkan terhadap suatu file/data. Issue yang menjadi perhatian mengenai timestamp adalah apakah data log timestamp pada suatu data dapat di palsukan? Hal ini tentunya dapat menjadi tantangan bagi para examiner dalam melakukan analisis khususnya pada saat melakukan sinkronisasi waktu (epoch time) terhadap file atau data yang dijadikan sebagai bukti. Sehingga examiner dapat teliti untuk melihat apakah timestamp pada bukti telah mengalami perubahan secara disengaja sebagai upaya untuk menggugurkan bukti.

TIMESTOMP
Salah satu aplikasi yang digunakan untuk melakukan perubahan terhadap timestamp suatu file atau data adalah timestomp. Timestomp merupakan buatan James. C. Foster dan Vincent Liu. Aplikasi ini dapat dianggap sebagai satu tool anti-forensic. Timestomp dapat menghapus atau mengubah atau memodifikasi informasi terkait dengan timestamp pada suatu file/data/folder.

Pada File System generasi setelah FAT, yakni NTFS (New Technology FIle System) dan ReFS (The Resilient File System) Terdapat 4 (empat) date record yang berbeda pada satu file yang dikenal sebagai MACE Time. MACE Time pada generasi NTFS dan ReFS berada pada bagian $MFT (Master File Table). Jadi pada NTFS terdapat beberapa partisi seperti pada gambar berikut :

(source : Jonathan Adkins - NTFS and The Master File Table_on youtube.com)

$MFT akan menyimpan seluruh informasi yang terkait pada data yang tersimpan dalam alokasi NTFS, seperti nama file, direktori file, waktu, dan lainnya.

MACE TIME stand for :

(M) odified  : Tanggal ketika terjadi perubahan pada data itu sendiri. Misalnya penambahan pada isi data.

(A)ccesed  : Tanggal ketika file terakhir kali di akses. Hal yang perlu diperhatikan pada tanggal akses adalah, kadang tanggal akses berubah/terpengaruh ketika dipindai oleh antivirus atau sistem lainnya yang otomatis dapat melakukan akses terhadap data tersebut.

(C)reate  : Tanggal ketika file pertama kali dibuat dan disimpan dalam volume disk. Tanggal ini seharusnya tidak akan berubah, meskipun file tersebut di akses (membuka/menutup), diedit, dimodifikasi ataupun disimpan.

(E)ntry Modified : Atau biasa juga disebut sebagai MFT Entry Modified merupakan Tanggal khusus yang ada pada file system NTFS ataupun ReFS yang tidak ditampilkan di interface windows. MFT Entry Modified dapat dilihat dengan bantuan aplikasi third parties ataupun forensik seperti encase dan lainnya. Tanggal Entry Modified akan berubah jika informasi mengenai file pada $MFT diubah maka tanggal ini akan ikut berubah. Karena semua tanggal, nama file, ukuran file disimpan pada $MFT. Misalnya jika nama file diubah atau ukuran file berubah, maka tanggal Entry Modified juga berubah.

INTERESTING POINT PADA $MFT

(source : Dave Hull - Detecting Time Stamp Manipulation)

Hal yang menarik pada $MFT adalah data mengenai tanggal pada sebuah file tidak hanya disimpan satu kali pada alokasi memori. Pada $MFT dikenal istilah $Standard_Information ($SI) dan $File_Name($FN). Sehingga data tanggal pada file yang sama disimpan pada 2 lokasi yang berbeda yakni $SI dan $FN. Pada alokasi $FN ternyata hanya dapat mengalami perubahan pada system kernel, sementara $SI berubah ketika ada modifikasi di user level process. Jadi ketika ada perubahan data yang diubah menggunakan aplikasi anti-forensic seperti timestomp maka data pada $SI saja yang berubah, sementara data tanggal pada $FN tidak mengalami perubahan.
  
Contoh Kasus :


File Create

Saya coba membuat suatu file .txt pada drive F: seperti berikut :





Ketika data baru di buat maka, date untuk created,modified dan accessed akan terpengaruh, seperti pada gambar diatas.

File Modify

Saya mencoba melakukan modifikasi terhadap data dengan menambahkan text lalu menyimpannya, seperti berikut :



Pada gambar diatas, dapat dilihat bahwa date modified dan date accessed berubah ketika dilakukan perubahan terhadap isi data. Tetapi tidak semua perangkat yang menggunakan khususnya generasi windows XP keatas, date accessed-nya berubah ketika dilakukan modifikasi terhadap data.
Kenapa? Karena beberapa sistem windows pada Last Access Updatenya di set 0, yang berarti disable. Untuk mengeceknya dapat dilakukan sebagai berikut pada command prompt :


Untuk mengaktifkan last access update maka set menjadi 1.

File Copy

Saya melakukan copy file di direktori yang sama.


Maka data mengenai date Modified tidak berubah karena sifatnya inherited(diwariskan) dari file yang dicopy. Sehingga yang berubah adalah date created dan date accessednya.

MENCARI CELAH TIMESTOMP

Seperti yang telah dijelaskan sebelumnya, ternyata pada $MFT data tanggal pada file yang sama disimpan pada 2 lokasi yang berbeda yakni $SI dan $FN. Pada alokasi $FN ternyata hanya dapat mengalami perubahan pada system kernel, sementara $SI berubah ketika ada modifikasi di user level process. Jadi ketika ada perubahan data yang diubah menggunakan aplikasi anti-forensic seperti timestomp maka data pada $SI saja yang berubah, sementara data tanggal pada $FN tidak mengalami perubahan.

Oleh karena itu, kita akan membuktikan hal tersebut dengan melakukan ekstrakting terhadap $SI dan $FN dari $MFT pada direktori F:\ yang dipakai untuk menyimpan file cobaStamp.txt yang telah dibuat sebelumnya.

Langkah - langkahnya sebagai berikut :

1. Ubah seluruh data tanggal pada cobaStamp.txt yang awal mula :


Dengan menggunakan TimeStomp pada command prompt akan mengubah tanggal yang diinginkan, dalam hal ini saya melakukan set tanggalnya sebagai berikut :

Terlebih dahulu, download timestomp.exe kemudian pindahkan program tersebut ke Dekstop.


Lalu ketikkan timestomp pada command prompt untuk mengetahui apakah timestomp telah dapat digunakan dan memberikan petunjuk mengenai option penggunaannya, seperti berikut : 


Untuk mengubah keseluruhan tanggal pada data maka menggunakan option -z :


Saya mengeset tanggalnya menjadi Monday 01 January 2018 3:33:33 PM Sehingga data akan berubah tanggalnya seperti berikut :




2. Langkah berikutnya adalah melakukan ekstrak pada $MFT di direktori F: dengan cara sebagai berikut :

Saya menggunakan FTK Imager untuk memperoleh data $MFT. Maka Step nya adalah sebagai berikut :


Pada FTK Imager, Pilih File kemudian pilih Add Evidence Item…


Pilih Source dari Logical Drive.


Pilih Source dari Drive F yang merupakan tempat dari cobStamp.txt.


Di Evidence Tree pilih subfolder root (klik 2x), kemudian pada bagian kanan scrolling down hingga menemukan file $MFT, terdapat 2 file $MFT, yakni $MFT dan $MFTMirr (Mirror). Silahkan pilih yang file dengan nama $MFT saja. 


Kemudian pilih Export Files…


Pilih tempat penyimpanan file, simpan file tersebut di didesktop untuk lebih memudahkan, kemudian tunggu hingga proses export file selesai, maka akan muncul pop up window yang berisi keterangan jumlah bytes yang diexport.


Pada desktop, file tersebut ternyata tidak muncul, maka perlu dilakukan analisis list direktori menggunakan command prompt, seperti berikut :


Di list direktori pun file $MFT tidak ada, maka coba perintah attrib (attribute) :


File $MFT terdaftar di Desktop. Apa yang membuat file tersebut tidak terlihat ternyata karena file tersebut Tersembunyi (ditandai dengan keterangan SH/Hidden). 


Maka , clear SH pada file dengan perintah diatas.


Maka file akan tampak di desktop, ubah nama file menjadi MFT untuk memudahkan pada proses berikutnya.


3. Langkah berikutnya, file MFT tersebut belum dapat langsung dianalisa karena datanya masih tidak terstruktur dengan baik (time-line file), sehingga sulit untuk membacanya. Oleh karena itu perlu dilakukan konversi terlebih dahulu, agar data tersebut dapat dianalisis secara rapih, terstruktur dalam bentuk table (CSV). Salah satunya menggunakan program AnalyzeMFT .

Yang menjadi kesulitan adalah, AnalyzeMFT ini ber-ekstensi .PY, yang berarti program ini merupakan Raw-Script dari Python.

Sebenarnya pada windows dapat dibuka menggunakan Python Software Foundation, tetapi saya mencari informasi dan menemukan ternyata di linux (saya menggunakan Ubuntu 18.04 LTS yang di running di VB) Script AnalyzeMFT.py ini bisa langsung di run di Terminal dengan mendownload python versi terminal.    

AnalyzeMFT.py dapat di download di link berikut : https://github.com/dkovar/analyzeMFT

Jadi saya memutuskan untuk melakukan konversi terhadap data $MFT di terminal Linux Ubuntu.


File MFT yang ada diwindows saya pindahkan ke Linux dan mendownload sekaligus install analyzeMFT langsung di terminal.


Kemudian melakukan konversi file MFT yang berada di Desktop menjadi suatu file bernama output yang bertipe csv, seperti pada perintah di gambar atas.


Tunggu hingga konversi selesai (memang agak lama), dan file hasil konversi kemudian akan tampil di Desktop. File tersebut kemudian saya pindahkan lagi ke windows untuk dibuka di excel.


Terdapat ribuan record yang dicatat oleh $MFT dan berbagi atribut yang melekat pada file tersebut. Agar tidak membingungkan, maka saya coba memindahkan file cobaStamp.txt saja ke worksheet baru beserta atribute $SI dan $FN saja.



Dari file cobaStamp.txt dapat diketahui bahwa data pada $Standard Information untuk Creation date, Modif date, Access date, dan Entry date ternyata memang berubah (pada tabel highlight orange). Sementara pada $File Name untuk Creation date, Modif date, Access date dan Entry datenya tidak mengalami perubahan!


Dari hasil analisis yang didapatkan, indikasinya adalah file cobaStamp.txt dengan sengaja diubah data datenya (Creation, Modify, Access dan Entry date). Karena ada perbedaan antara $SI date dengan $FN date.


--- THANKS ---






Post a Comment

No comments

Subscribe to: Post Comments ( Atom )
Powered by Blogger.