Setiap sistem operasi tentu saja memiliki arsitektur yang berbeda. Tentu saja forensik yang dilakukan pada sistem operasi Windows akan berbeda dengan forensik yang dilakukan pada sistem operasi Linux dan Mac. Namun, pada prinsipnya hampir sama seperti adanya perbedaan forensik pada data yang bersifat volatile dan non-volatile. Di Linux data yang bersifat volatile seperti:
- Hostname, date & time, and time zone
- hostname : untuk mengetahui siapa nama host
- date : untuk mengetahui tanggal dan waktu
- cat /etc/timezone : untuk mengetahui zona waktu yang digunakan
- date +%s : epoch time yang biasanya dimulai pada 1 Januari 1970
- Uptime
- uptime : berapa lama sistem berjalan sejak mesin dinyalakan
- Network information
- ip addr show : mendapatkan secara detail berkaitan dengan Network Interface Controller
- ifconfig <interface> : melihat apakah ada NIC yang di-set promiscuous (dapat menerima seluruh paket jaringan)
- ifconfig <interface> -promisc : untuk men-disable mode promiscuous
- netstat : untuk mengkoleksi informasi di koneksi jaringan
- netstat -i : meninjau daftar network interface di sistem
- netstat -rn : melihat informasi routing table
- ip r : meninjau informasi lebih detail dari routing table
- Open ports
- nmap -sT localhost : melihat port TCP yang terbuka di localhost
- nmap -sU localhost : melihat port UDP yang terbuka di localhost
- netstat -tulpn : melihat proses yang berasosiasi dengan port
- -t : menampilkan port TCP
- -u : menampilkan port UDP
- -l : menampilkan listening port
- -p : menampilkan daftar PID/program name
- -n : menampilkan alaman dalam bentuk numerikal
- lsof -i -P -n | grep LISTEN : menampilkan daftar proses yang berjalan di port yang terbuka
- Open files
- lsof : mendapatkan informasi seluruh proses yang aktif
- lsof | more : melihat lebih detail
- ps : menampilkan proses saat ini yang dieksekusi oleh akun user yang logged-in
- ps auxww : menampilkan proses saat ini untuk semua user
- Mounted filesystem information
- Loaded kernel modules
- User events
- Running processes
- Swap areas and Disk partition information
- Kernel messages
State dari data non-volatile tidak akan berubah ketika mesin mati atau kehilangan daya. Saat investigasi forensik, investigator harus mengoleksi informasi non-volatile seperti system information, user login history, system logs, dan hidden files untuk mengkonstruksi analisis waktu dari insiden yang terjadi. Perhatikan data non-volatile pada Linux adalah:
- System information
- cat /proc/cpuinfo : meninjau lebih detail tentang CPU dari mesin
- cat /porc/self/mounts : meninjau mount points dan mounted external devices
- Kernel information
- cat /proc/verion
- hostnamectl | grep Kernel
- User accounts
- cat /etc/passwd : informasi pengguna lokal
- root - username
- x - password
- 0 - user ID
- 0 - group id
- root - user id information
- /root - home directory
- /bin/bash - absolute path to the user's login shell
- Currently logged-in users and login history
- w : melihat user yang sedang logged in
- last -f /var/log/wtmp : meninjau history user login
- cat /var/log/auth.log : memperoleh informasi berkaitan user otentikasi dan otorisasi
- System logs
- cat /var/log/syslog : berisi rekaman pesan sistem seperti error dan status
- cat /var/log/s.log : berisi kegiatan kernel
- cat /var/log/kern.log : berisi kegiatan kernel yang lebih detail
- Linux log files
- /var/log/auth.log : berisi otentikasi dan otorisasi user login
- /var/log/kern.log : berisi informasi mengenai pesan kernel
- /var/log/faillog : berisi upaya login yang gagal
- /var/log/lpr.log : berisi printer log
- /var/log/mail.* : berisi semua pesan server mail
- /var/log/mysql.* : berisi log server MySQL
- /var/log/apache2/* : berisi log apache web server
- /var/log/apport.log : berisi laporan aplikasi crash
- /var/log/lighttpd/* : berisi web server log lighttpd
- /var/log/daemon.log : berisi layanan yang berjalan seperti squid dan ntpd
- /var/log/debug : berisi pesan log debugging
- /var/log/dpkg.log : berisi log mengenai instalasi dan penghapusan package
- User history file
- Hidden files and directories
- Suspicious information
- File signatures
- File information obtained using file and strings command
- Writable files obtained using the find command
Analisa terhadap image dari filesystems dapat dilakukan menggunakan The Sleuth Kit atau TSK. Command yang dapat digunakan setelah menginstall TSK di Linux adalah: fsstat -i <input_filetype> <filename.extension> dan fls -i <image_type> <imagefile_name>. Untuk mendapatkan yang lebih detail dapat menggunakan: istat -f <fstype> -i <imgtype> <imagefile_name> <inode_number>.
Memory forensics termasuk dalam volatile data. Karena datanya bersifat volatile maka biasanya dilakukan capturing atau penangkapan dari sistem RAM ketika sistem masih dalam keadaan aktif atau masih memiliki daya (dump RAM). Perangkat lunak yang cukup familiar digunakan adalah LiME. Setelah dump RAM didapatkan maka hal pertama yang dilakukan adalah pemeriksaan malicious software atau malware. Caranya dengan menggunakan volatility framework (vol.py). Apabila terjadi terhapusnya atau hilangnya file memory image maka dapat di-carving dengan menggunakan PhotoRec Tool (https://www.cgsecurity.org).
 |
| sumber: https://pixabay.com/photos/macintosh-apple-macintosh-classic-7633258/ |
Sistem operasi Mac memiliki cara security yang berbeda dengan Linux. Data forensik Mac ada 3, yaitu user account, file system, dan basic security module atau BSM. Mirip seperti linux, di Mac ada log file yang penting, yaitu:
- /var/log/crashreporter.log : histori aplikasi crash
- /var/log/cups/access_log : informasi koneksi printer
- /var/log/cups/error_log : informasi koneksi printer
- /var/log/daily.out : histori network interface
- /var./log/samba/log.nmbd : informasi koneksi samba
- ~/Library/Logs : log aplikasi spesifik ke direktori Home
- ~/Library/Logs/iChatConnectionErrors : informasi koneksi iChat
- ~/Library/Logs/Sync : informasi dari device di .Mac syncing
- /var/log/* : folder utama untuk sistem file log
- /var/audit/* : audit log
- /var/log/install.log : waktu instalasi terbaru dari sistem dan aplikasi
ref:
Komentar