Vonderchild digital-forensics-lab adalah latihan penggunaan teknologi untuk tujuan mengumpulkan bukti, penyelidikan dan juga menyajikan temuan dalam kasus hukum, Baik melalui aktifitas log, jaringan, riwayat pencarian dan juga media penyimpanan digital seperti hard disk, perangkat seluler (hanphone) serta analisis data upaya untuk mengidentifikasi dan mencari bukti aktivitas kriminal atau kesalahan lainnya.
Dalam lab ini, kita akan Mengerjakan latihan soal /vonderchild/digital-forensics-lab/tree/main/Lab, Berikut beberapa soal dan jawabanya.
1. If we wanted to list all the files in the current directory, what command would we want to use? .txt
ls
2. What command can we use to read the contents of the file ?/etc/passwd
cat /etc/passwd
3. If we wanted to search for the string in all files in the directory, what would our command be?Error /var/log
grep "Error" /var/log
4. What would be the commands to calculate MD5 and SHA1 hashes of the file ? /etc/passwd
md5sum /etc/passwd && sha1sum /etc/passwd
5. Use the command to determine the type of the file and explain the output in 2-3 sentences. file /usr/bin/cat
executable biner untuk Linux. Output biasanya menampilkan arsitektur (misalnya ELF 64-bit) dan informasi linking | Untuk membantu pengamat memahami jenis file dan informasi file
6. What command can we use to display all printable strings of length ≥ 8 in the file ? /bin/bash | command strings -n 8 /bin/bash
Opsi -n 8 memastikan hanya string dengan panjang minimal 8 karakter yang ditampilkan
7. Given the following output of the command, can you determine what’s wrong with this file?file
$ file image.jpg image.jpg: ELF 64-bit LSB pie executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, BuildID[sha1]=3ab23bf566f9a955769e5096dd98093eca750431, for GNU/Linux 3.2.0, not stripped
File tersebut bukan jpg, walaupun format jpg akan tetapi setelah melihat output yang dihasilkan, file tersebut adalah file manipulasi data yang sebenarnya adalah executable ELF Linux
8. If we wanted to look for files modified in the last 30 minutes in directory, what command would we want to use? Hint: Explore how you can use command to achieve this. /homefind ] find /home -type f -mmin -30 ]
-mmin -30 dimodifikasi dalam 30 menit terakhir -type f hanya file
9. What command can we use to display information about all active TCP connections on the system?
netstat -ant | -a semua koneksi, -n numeric -t TCP saja
10. Given this corrupted image file, can you find a way to recover and view its contents? Hint
1: A quick google search for “magic bytes” might help. Hint
2: Explore how can help you here.hexedit You may download the image using following command. "curl https://raw.githubusercontent.com/vonderchild/digital-forensics-lab/main/Lab%2001/files/challenge.png -o challenge.png"
$ file challenge.png [output format data]
$ hexedit challenge.pg [aku rubah 17 ke 89 dan 29 ke 50 | byte png]
$ file challenge.png [output file png]
Setelah format sudah menjadi png, aku buka melalui file manager dan boom, saya mendapatkan 'flag{d1g1tal_f0r3ns1cs_101}'