disini kita akan belajar tentang memecahkan kasus tentang penyelundupan obat terlarang melalui image.

tool yang digunakan :

1. Ntfs Recovery Toolkit
2. Win MD5
3. autopsy

kasus yang harus diselesaikan

1. Siapa pemasok marijuana Joe Jacob dan apa alamat yang tercantum untuk pemasok?
2. Data penting apa yang tersedia dalam file coverpage.jpg dan mengapa data ini penting?
3. Apa (jika ada) sekolah menengah lain selain Smith Hill yang sering dikunjungi Joe Jacobs?
4. Untuk setiap file, proses apa yang diambil oleh tersangka untuk menutupi mereka dari yang lain?
5. Proses apa yang Anda (penyelidik) gunakan untuk berhasil memeriksa seluruh isi setiap file?
6. Program Microsoft apa yang digunakan untuk membuat file Halaman Sampul. Apa buktinya (Bukti adalah kunci untuk menjawab pertanyaan ini dengan benar, bukan hanya menebak)?

langkah pertama yaitu install Win MD5 dan Autopsy.

masukan file image.zip ke win md5 hasilnya seperti dibawah ini :

Sekarang kita buka autopsy lalu isi case name dan base directory seperti dibawah ini. namun kamu juga bisa mengisinya sesuai keinginan. klik next 

maka akan menghasilkan data yang akan diakuisisi, seperti dibawah ini

kasus pertama :
1.Siapa pemasok marijuana Joe Jacob dan apa alamat yang tercantum untuk pemasok?

kasus kedua :
2. Data penting apa yang tersedia dalam file coverpage.jpg dan mengapa data ini penting?
Data yang penting
1. terdapat hal tersembunyi seperti nama penjual pada file image

2. lokasi transaksi

namun jika ada ingin melihat lokasi transaksi harus tahu clue yang ada untuk membuka file excel, ini clunya :

file zip terenkripsi (scheduled visits.zip), yang dapat ditemukan di akhir file (offset 0x3d20) sebagai "pw = goodtimes".

kasus ketiga

3. Apa (jika ada) sekolah menengah lain selain Smith Hill yang sering dikunjungi Joe Jacobs?

nah setelah berhasil membuka zip, kita dapat melihat lokasi tempat transaksi tersebut

5 sekolah yang dijadikan alat untuk transaksi yaitu
Key High School
Leetch High School
Birard High School
Richter High School
Hull High School

kasus keempat
4. Untuk setiap file, proses apa yang diambil oleh tersangka untuk menutupi mereka dari yang lain?

Dengan menghapus Jimmy Jungle.doc, Cover page. Jpg diganti a.jpgc , Schedule.zip diganti nama dengan .exe

kasus kelima
5. Proses apa yang Anda (penyelidik) gunakan untuk berhasil memeriksa seluruh isi setiap file?
Saya sebagai penyidik menggunakan WinMD5Free, Autopsy, lalu untuk memecahkan kasus yang disusun dengan matang oleh tersangka saya menggunakan Ntfs Recovery.


bonus pertanyaan

Program Microsoft apa yang digunakan untuk membuat file Halaman Sampul. Apa buktinya (Bukti adalah kunci untuk menjawab pertanyaan ini dengan benar, bukan hanya menebak)?
Program yang digunakan adalah Microsoft Paint. Tabel human yang digunakan oleh aplikasi ini tampaknya menjadi unik dan belum ditemukan untuk digunakan oleh aplikasi lain.