Showing posts with label forensic. Show all posts
Showing posts with label forensic. Show all posts

Tuesday, December 3, 2013

Whatsapp Xtract, see your chat on PC

hi there, see you again with me, after a long time im not write in here :)
Yesterday i found microSD, i dont know who have this microSD, so I try to open that on my PC.
im not  found anything, except folder whatsapp. In that folder i found database (msgstore.db.crypt), but i can't open the file, i think the file has encrypt from whatsapp apps. 

I searching in google, about how can i see that database, and i found Whatsapp_Xtract_V2.2_2012-11-17.zip . and there is the step extract database

step 1. open terminal
step 2 .  go into folder whatsapp_xtract and chmod 777 whatsapp_xtract.py
step 3. execution
step 4. open file msgstore.db.html with your browser 


ok, that my article on this day, see you next time :)


Posted by at 0 comments
Labels: , , ,

Friday, March 9, 2012

Belajar Tentang Komputer Forensik (Basic)

     Sebelum kita belajar komputer forensik, sebaiknya kita megetahui dulu apa arti forensik dan komputer forensik itu sendiri. Forensik adalah pengumpulan barang bukti yang berkaitan dengan sebuah kasus, dan dapat dijadikan barang bukti yang sah di pengadilan. Sedangkan komputer forensik sendiri adalah pengumpulan barang bukti yang berbentuk sistem informasi, baik perangkat keras ataupun perangkat lunak, yang berkaitan dengan kasus, dan dapat dijadikan barang bukti yang sah di pengadilan.
     Orang-orang yang ingin belajar komputer forensik, harus juga memahami tentang hacking, sistem operasi itu bekerja, dan forensik itu sendiri. Hal ini akan dibutuhkan, jika kasus yang akan ditangani berkaitan dengan kejahatan digital.
     Sebelum melakukan kegiatan komputer forensik, sebaiknya kita mengetahui dulu tentang pondasi dari komputer forensik tersebut, hal ini dikarenakan jika tidak mengetahui dan memegang teguh pondasi dari komputer forensik itu sendiri, maka kegiatan komputer forensik tidak akan berjalan maksimal.

  1. identification
    hal ini dilakukan ditempat kejadian perkara, yakni memilah milah barang bukti mana yang tepat untuk dijadikan barang bukti di depan pengadilan.

  2. Collecting ( di tempat kejadian perkara )
    a. chain of custody : hal yang dilakukan dalam chain of custody adalah memberi label pada barang bukti, menjaga, supaya barang bukti tersebut tidak ada perubahan diwaktu pengkloningan data-data, jika terjadi perubahan sewaktu pengkloningan, maka barang bukti dianggap tidak sah.

    b. acquisition : kegiatan ini adalah pengkloningan barang bukti ( biasanya dalam bentu data , contoh : pengkloningan 1 hardisk, bit per bit)

    c. fingerprint : hasil dari kloningan tersebut dicocokan dengan barang bukti asli, jika terjadi perbedaan 1 bit saja, maka barang bukti tidak sah.

  3. analysis
    a. chain of custody : ini berbeda dengan chain of costudy di saat fase collecting. Di fase ini, kita akan membuat barang bukti yang kita kloning tersebut tidak dapat ditulis (block writing), hal ini supaya barang bukti yang kita dapat tidak berubah sedikitpun.

    b. analysis : di fase ini, kita ditantang kehebatan analisis kita, karena di fase ini, kita benar-benar mengandalkan kemampuan analisa kita.

    c. collecting : collecting disini adalah pengumpulan hasil analisa kita.

    d. reconstruction : setelah hasil analisa kita kumpulkan, sebaiknya kita rekontruksikan, hal ini supaya bisa kita ceritakan di depan pengadilan.

  4. Presentasi / report
    fase terakhir sebelum ke pengadilan, yaitu penulisan report dan kesimpulan.

Itu adalah pondasi dari belajar komputer forensik, kemampuan dan usaha yang luar biasa kita untuk belajar forensik benar-benar ditantang disini
Posted by at 0 comments
Labels: , , ,

Saturday, March 3, 2012

play with peepdf (basic)

Tested           : backtrack 5 r2 
Tools             : peepdf, foxit reader 
Title of pdf     : forensics.pdf, linux.pdf and howto.pdf 
Target            : forensics.pdf 

now I learn about computer forensic, and I have a problem with my PDF, my PDF can't open.
This is the picture :

now open peepdf on backtrack tools. And then I type “./peepdf.py -h” to know how to use this tools.

root@archaveliano:/pentest/forensics/peepdf# ./peepdf.py -h 
Usage: ./peepdf.py [options] PDF_file 


Options: 
  -h, --help            show this help message and exit 
  -i, --interactive     Sets console mode. 
  -f, --force-mode      Sets force parsing mode to ignore errors. 
  -l, --loose-mode      Sets loose parsing mode to catch malformed objects. 
  -s SCRIPTFILE, --load-script=SCRIPTFILE 
                        Load the commands stored in the specified file and 
                        execute them. 

after I know, I try to set console mode :
root@archaveliano:/pentest/forensics/peepdf# ./peepdf.py -i /media/BCA8-FC99/forensics.pdf  
Error: Bad PDF header!! () 

ok, now I know that my pdf file have a bad header, so I try to find header pdf. I must have a normal file
pdf , so I take the other file pdf to equal with my forensics.pdf. So I choose linux.pdf and howto.pdf to
equal that header with forensics.pdf

open linux.pdf , howto.pdf and forensics.pdf in hexedit. This is an screenshoot :

look forensics.pdf, that have different with linux.pdf and howto.pdf in header, so I try to edit
forensics.pdf header from AA 50 44 AA  2D AA 2E with 25 50 44 46  2D 31 2E . and save it.

Now I try to open forensics.pdf with foxit reader. And this is the result.

-=CMIIW=-


Posted by at 2 comments
Labels:
Subscribe to: Posts (Atom)