HELIX 3
Helix 3 adalah system operasi berbasis Linux yang dikembangkan dari distro linux Ubuntu Pengembang Helix 3 adalah e-Fense Inc., sebagai system operasi khusus untuk kegiatan forensik. Helix3 dibundel dengan banyak tool-tool forensik baik yang sifatnya open source atau pun closed source. Helix3 hadir dalam dua versi, versi gratis dan versi berbayar yang dua-duanya dikembangkan oleh e-Fense Inc
SYSTEM INFORMATION
System Information berguna untuk menampilkan informasi dasar computer yang akan diinvestigasi
• Owner information : Memberitahu kita nama user yang sedang login dan hak administrator
• Network information : Menampilakn MAC address dan IP dari computer yang sedang diinvestigasi
• Drive : Menampilkan daftar partisi yang ada di computer
Mengapa kita tidak menggunakan task manager yang telah tersedia di Sistem operasi computer target ? karena jika computer target terdapat virus rootkit atau program sejenis, hal itu memungkinkan untuk menghilangkan salah satu proses yang sedang berjalan.
ACQUIRE A “LIVE” IMAGE OF A WINDOWS SYSTEM USING DD
1. FTK Imager
Jika kita mengklik tanda panah oranye di samping ikon kamera, maka kita akan berada di halaman ke dua dari menu Live Acquisiton Helix3 yaitu FTK Imager. FTK Imager merupakan sebuah tools yang digunakan untuk membuat image dari suatu drive baik physical maupun logical drive.
Cara menjalankan FTK imager, cukup dengan mengklik tombol imager kemudian tunggu beberapa saat hingga jendela FTK imager muncul.
Klik File kemudian Pilih Create Disk Image.
Misalkan kita ingin mengubah Logical Drive F: menjadi image maka pilih Logical Drive.
Kemudian kita tentukan drivenya dan Next
Lalu kita akan memilih destination image
Kemudian kita akan diminta memilih format image
Kemudian kita akan diminta mengisi informasi tentang image
Terakhir kita akan diminta menentukan nama image dan tampat penyimpanan image tersebut
Setelah mendownload WFT segera ekstrak WFT kemudian jalankan ia dengan mengklik dua kali wft.exe. Kemudian akan muncul halaman depan dari WFT.
Tekan ENTER untuk memulai menjalankan WFT
Menentukan path dari filenamenya. Pilih defaultnya saja dengan menekan tombol ENTER. Default: wft.cfg
Menentukan lokasi toolpath untuk menjalankan WFT. Karena WFT jalan menggunakan command prompt maka kita akan gunakan cmd dari Windows. C:\Windows\System32.
Namun bila kita hendak memakai cmd bawaan Helix bisa diketikan: E:\IR\2k atau E:\IP\2k3. || Catatan: ‘E’ menyesuaikan dengan drive lokasi CD Helix.
Menentukan OS Path. Karena kita tadi menggunakan cmd milik sistem operasi, maka pilih default saja dengan menekan ENTER atau dengan mengetik ‘auto’ kemudian ENTER.
Menentukan path dari command shell. Karena kita pakai cmd dari OS maka kita pilih auto.
Menentukan Destination Path. Pilih defaultnya.
Jika ingin menganalisa selurh disk pilih auto. Jika tidak bisa di tentukan mana saja yang mau di analisa.
Menuliskan nama investigator.
Menentukan nama casenya
Menentukan format checksum. Pilih defaultnya md5.
Running Slow Tool. Pilih N saja.
Verivikasi penggunaan tool yang akan menulis di sistem. Pilih Y
Verifikasi laporan akan ditulis dalam format HTML. Pilih Y
Verfikasi pengaktifan prompting. Pilih default N
Verifikasi apakah report akan dibukakan secara otomatis? Pilih Y saja.
Konfirmasi sebelum menjalankan WFT. Jika sudah benar maka ENTER saja.
WFT sedang memeriksa sistem. Tunggu hingga selesai.
WFT Selesai memeriksa Drive.
- File Recovery
PC Inspector adalah tool yang digunakan untuk mengembalikan file-file yang telah terhapus. Di websitenya bahkan File recovery diklaim mampu mengembalikan file-file dari drive yang telah terformat bahkan telah terhapus sebelumya.
Cara menggunakan aplikasi ini cukup mudah. Pertama kita perlu menjalankannya terlebih dahulu.
Kemudian memilih bahasa aplikasi. Pilih English.
Pilih jenis pekerjaannya. Misalkan kita akan merecover file yang telah terhapus.
Selanjutnya PC Inspector akan memeriksa isi harddisknya.
Langkah selanjutnya kita tinggal memilih drive mana yang akan kita cari deleted file nya untuk dikembalikan. Misal drive D. Kemudian klik tanda centang hijau.
Kemudian akan tampil seperti gambar di bawah. Klik icon deleted kemudian cari file mana yang akan di kembalikan.
Untuk mengembalikan file target kita klik kanan file target kemudian pilih save to. Kemudian tentukan di mana kita akan menyimpan file yang telah direcovery tadi.
- PC On/Off Time
PC On/Off Time adalah aplikasi yang berfungsi untuk mengumpulkan history kapan saja komputer tersangka hidup atau mati. Dari data yang ditampilkan akan terlihat kapan saja komputer ini digunakan dan seberapa penting komputer ini bagi pihak tertentu. Sayangnya PC On/Off Time bawaan Helix adalah versi free oleh karenanya kemampuannya juga terbatas. Versi berbayar dari aplikasi ini bahkan bisa menampilkan aplikasi apa saja yang digunakan selama komputer menyala dan berapa lama penggunaannya.
nama =ari kabela
nim =13142097
kelas =if7ai
dosen =suryayusra,m.kom
program studi=teknik informatika
fakultas =ilmu komputer
website =www.binadarma.ac.id
Tidak ada komentar:
Posting Komentar