Terdapat sebuah tantangan:
Orang-orang dari
Digital Forensic Research WorkShop telah menciptakan tantangan unik untuk Anda.
Misi Anda adalah menganalisis floppy yang ditemukan dan menjawab pertanyaan di
bawah ini. Apa yang membuat tantangan ini unik, Anda perlu membaca laporan
polisi sebelum melanjutkan tantangan Anda. Sama seperti investigasi di dunia
nyata, Anda akan memiliki beberapa informasi latar belakang dan beberapa bukti,
tetapi terserah Anda dan keterampilan teknis Anda untuk menggali jawaban. Di
bawah ini adalah gambar dd dari floppy yang dipulihkan. Ini adalah gambar yang
akan memberi Anda jawaban, asalkan Anda dapat 'mengekstrak' data.
Langkah untuk mendapatkan bukti yang terdapat pada file
image.zip
- Buka dan jalankan WinMD5.
- Kemudian browse dan cari file dengan nama image.zip
lalu akan muncul File MD5 value dan copy
value ke bagian bawah untuk memverifikasi apakah value sama dengan File MD5 Value. Klik Verify
dan akan muncul notifikasi yang menampilkan hasil yang Match.
- Klik Ok pada kotak notifikasi
- Buka Autospy,
lalu create new case untuk mengotopsi kasus baru
- Masukan nama kasus dan simpan bukti kasus,
kemudian klik next
- Masukan case dan nama penyidik, klik finish
Pertanyaan dari kasus yang harus di pecahkan
1. Siapa pemasok marijuana Joe Jacob dan apa alamat
yang tercantum untuk pemasok?
Jimmy Jungle, NY 11111
2. Data penting apa yang tersedia dalam file
coverpage.jpg dan mengapa data ini penting?
File halaman sampul berisi kata sandi ke file
zip terenkripsi (scheduled visits.zip), yang dapat ditemukan di akhir file
(offset 0x3d20) sebagai "pw = goodtimes".
3. Apa (jika ada) sekolah menengah lain selain
Smith Hill sering Joe Jacobs?
Ada 5 sekolah :
a. Key High School
b. Leetch High School
c. Birard High School
d. Richter High School
e. Hull High School
4. Untuk setiap file, proses apa yang diambil oleh
tersangka untuk menutupi mereka dari yang lain?
Jimmy Jungle doc dihapus
Cover page. Jpg diganti a.jpgc
Schedule.zip diganti nama dengan .exe
5. Proses apa yang Anda (penyelidik) gunakan untuk
berhasil memeriksa seluruh isi setiap file?
Langkah awal menggunakan MD5Free, Selanjutnya menggunakan Autopsy untuk mengetahui apakah benar file tersebut yang akan di autopsy. Langkah terakhir menggunakan NTFS Recovery untuk memperoleh data-data yang terdapat pada file tersebut.
Pertanyaan Bonus:
Program Microsoft apa yang digunakan untuk membuat file
Halaman Sampul. Apa buktinya (Bukti adalah kunci untuk menjawab pertanyaan ini
dengan benar, bukan hanya menebak).
Jawaban :
File halaman muka berisi padding dalam urutan pengulangan 4 byte dari 0x28a28a00. Kami membuat gambar JFIF menggunakan Microsoft Paint dan program lainnya. Dengan memeriksa padding dalam file-file ini jelas bahwa padding 0x28a28a00 adalah unik untuk Microsoft Paint.
