M Fari Caesaradha 1715015051
Sholatul Rachmad 1715015053
Akhmad Masyudi 1715015055
Fikri Syifa Maulidin 1715015062
Wahyu Ramadhani 1715015079
TUTORIAL WIRESHARK
Sekian dari kami terima kasih, coba lagi puzzle-puzzle disini (http://forensicscontest.com/puzzles) untuk mengasah kemampuan investigasi kalian.
Pertama untuk melakukan digital forensic
di WireShark anda harus memiliki file .pcap terlebih dahulu, pcap merupakan
file packet-packet jaringan dan Wireshark yang sudah terinstall bersama Kali
Linux. Kali ini kami akan menjelaskan bagaimana menggunakan wireshark dalam
digital forensik dengan kasus Ann’s
Apple TV. Ann’s Apple TV merupakan salah satu
puzzle yang digunakan dalam kontes forensik
(http://forensicscontest.com/puzzles)
Kronologi Ann’s Apple TV adalah sebagai berikut :
Ann dan Mr.X telah menyusun tempat oparasi mereka yang baru.
Sambil menunggu berkas-berkas selesai diproses, anda dan tim investigator anda
diam-diam memonitor kegiatan Ann dan Mr.X. Baru-baru ini Ann membeli Apple TV,
dan mengaturnya dengan ip statis 192.168.1.10.
Misi anda dan tim investigator anda adalah untuk mengetahui
apa yang Ann cari, kesukaannya dan mencari barang bukti termasuk :
a.
Alamat MAC dari Apple TV milik Ann.
b.
User-agent apa yang digunakan Apple TV milik ann
dalam HTTP request.
c.
Apa empat pencarian pertama Ann dalam Apple TV
d.
Apa judul film pertama yang Ann klik
e.
Apa link URL dari trailer film pertama yang Ann
klik
f.
Apa judul film kedua yang Ann klik
g.
Berapa harga film kedua yang Ann klik
h.
Apa pencarian terakhir Ann
Dengan kronologi diatas kita sudah
mendapat misi apa yang harus kita lakukan sebagai investigator. Langsung saja.
1.
Buka file .pcap menggunakan Wireshark
2.
Dari paket pertama sudah terlihat alamat MAC
dari Apple TV milik Ann
Dari gambar terlihat alamat MAC dari Apple TV adalah
(00:25:00:fe:07:c4)
3.
Selanjutnya untuk mencari user-agent cari paket
yang memiliki protokol “HTML”
Dari situ klik kanan pada paket, pilih follow -> TCP
Stream
Jendala baru akan muncul dan memperlihatkan bahwa user-agent
yang digunakan Apple TV adalah (AppleTV/2.4)
4.
Untuk mencari pencarian yang dilakukan Ann,
dalam tab filter masukkan (http.request.method == “GET”)
Filter ini digunakan untuk menampilkan paket-paket yang
berjalan saat URL meminta data ke server, dari list yang ada di tab info cari
“incremental search”
Jika ketemu klik dua kali dan jendela baru akan muncul
menampilkan url yang dikirim saat melakukan pencarian.
Dari gambar diatas terlihat empat pencarian pertama yang
dilakukan Ann adalah (h,ha,hac, dan hack).
5.
Selanjutnya untuk mencari nama film yang pertama
diklik Ann, masih menggunakan list dari langkah 4, di tab info cari “pageName”
Jika ketemu klik dua kali dan jendela baru akan muncul
menampilkan url dengan nama film.
Dari gambar diatas diketahui bahwa film pertama yang diklik
Ann adalah (Hackers).
6.
Untuk mencari link trailernya klik paket yang
berada diatas paket film tadi lalu pilih follow -> TCP Stream
Dari list yang ada cari paket yang memiliki protokol
“HTTP/XML” untuk melihat informasi-informasi halaman web yang dibuka.
Jika ketemu klik dua kali dan pada tab XML cari key yang
bernilai “preview-url”. Dari gambar diatas diketahui link URL dari trailer film
Hackers adalah (http://a227.v.phebos.apple.com/us/r1000/008/Video/62/bd/mzm.plqacyqb..640x278.h264lc.d2.p.m4v)
7.
Untuk mencari film kedua langkah yang dilakukan
sama seperti saat mencari film pertama
Dari gambar diatas terlihat film kedua yang diklik oleh Ann
adalah (Sneakers).
8.
Untuk mencari harga dari film Sneakers, sama
seperti saat mencari link trailer film Hackers
Klik paket yang berada diatas paket film Sneakers, klik dua
kali -> pilih follow -> TCP Streamer
Dari list yang ada cari paket yang memiliki protokol
“HTTP/XML” untuk melihat informasi-informasi halaman web yang dibuka
Jika ketemu klik dua kali dan pada tab XML cari key yang
bernilai “price”. Dari gambar diatas diketahui harga dari film Sneakers adalah
(9.99 USD).
9.
Misi terakhir adalah mencari pencarian terakhir
yang dilakukan Ann
Untuk mencari pencarian terakhir pilih paket terakhir di
list paket langkah ke 4 lalu klik dua kali. Jendala baru akan muncul dan
memperlihatkan pencarian terkahir yang dilakukan Ann.
Dari gambar diatas terlihat pencarian terakhir, yang dicari
oleh Ann adalah (iknowyourewatchingme).
Setelah melakukan misi-misi diatas dapat disimpulkan bahwa:
a.
Alamat MAC dari Apple TV milik Ann. = 00:25:00:fe:07:c4
b.
User-agent apa yang digunakan Apple TV milik ann
dalam HTTP request. = AppleTV/2.4
c.
Apa empat pencarian pertama Ann dalam Apple TV =
h,ha,hac, dan hack
d.
Apa judul film pertama yang Ann klik = Hackers
e. Apa
link URL dari trailer film pertama yang Ann klik = http://a227.v.phebos.apple.com/us/r1000/008/Video/62/bd/mzm.plqacyqb..640x278.h264lc.d2.p.m4v
f.
Apa judul film kedua yang Ann klik = Sneakers
g.
Berapa harga film kedua yang Ann klik = 9.99 USD
h.
Apa pencarian terakhir Ann = iknowyourewatchingme
Sekian dari kami terima kasih, coba lagi puzzle-puzzle disini (http://forensicscontest.com/puzzles) untuk mengasah kemampuan investigasi kalian.
TERIMA KASIH
0 komentar:
Posting Komentar