Banyak organisasi, perusahaan atau lembaga² tertentu menggunakan enkripsi Pointsec untuk menjaga agar data mereka tetap aman, terutama dalam kasus laptop. Sebagai penyidik forensik, kami kadang-kadang bertugas dengan menciptakan forensik suara, file image didekripsi pada drive yang dienkripsi oleh Pointsec untuk penyelamatan atau investigasi. Ini adalah tugas yang cukup rumit dan sulit, karena tidak ada alat forensik yang ada yang memiliki kemampuan dengan menekan satu tombol maka deskripsi atau gambaran/data dari suatu file enkripsi dapat terlihat dengan jelas. Meskipun ada beberapa sumber daya online mendokumentasikan proses ini, mereka bertentangan dan kadang-kadang salah. Dalam rangka membantu penyelidik lainnya yang menghadapi tantangan ini, saya akan menyajikan serangkaian langkah dan point² untuk memperoleh gambar deskripsi forensik (dengan peringatan) dari gambar Pointsec drive yang terenkripsi.
Perhatikan bahwa tulisan ini bukan tentang melanggar hak² privasi seseorang atau lembaga, ini hanya tentang bagaimana caranya membuat sebuah file yang terenkripsi dapat terlihat dengan jelas dengan asumsi kita telah memilik surat izin/tugas untuk memeriksa file tersebut . Tetapi juga, karena beberapa kegagalan pada proses pemeriksaan data pada tugas sebelumnya :p
Hal-Hal yang di perlukan :
- file yang terenkripsi oleh Pointsec
- Komputer atau Laptop yang telah terinstal LiveView (bisa menggunaan WMware atau sejenisnya)
- CD BartPE dengan aplikasi Pointsec Dynamic Mount Utility (DMU) untuk membuka file/data yang di enkripsi oleh Pointsec dan FTK Imager. Petunjuk untuk membuat disk ini dengan DMU dapat anda baca pada https://updates.checkpoint.com/fileserver/SOURCE/direct/ID/11801/FILE/CP_2.0_FDE_Dynamic_Mount_Utility_AdminGuide.pdf ,saya sarankan untuk menambahkan FTK Imager ke disk ini juga.
- Sebuah jaringan untuk membaca file yang telah di deskripsi.
Langkah-Langkah :
- gunakan LiveView untuk menghasilkan konfigurasi file hanya untuk gambar drive yang terenkripsi.
- buka file konfigurasi yang baru dihasilkan dengan VMWare Workstation dan (vmx.) caranya :
<0> tambahkan dan konfigurasi Network Adapter (gunakan NAT jika anda ragu konfigurasi jaringan
gagal)
3. buka file wmx (file VMWare) dalam editor teks dan tambahkan baris berikut sampai akhir :
:Bios.BootDelay = “10000”
(kode ini berguna untuk penundaan boot selama 10 detik, jika tidak pada langkah ke-6 kita akan mengalami kesuliatan)4. masukan CD BartPE ke drive cd-rom komputer.
5. jalankan LiveView pada VMWate
6. Tekan ESC untuk masuk ke menu boot VMWare, dan pilih drive CD-ROM untuk boot CD BartPE.
7. Setelah muncul tapilan BartPE , konfigurasi jaringannya
<0> Lakukan konfigurasi jaringan dengan benar
<0> lakukan sharing partisi untuk mengakses file pada masing jaringan dalam satu komputer
8. Jalankan pada mode DMU dan pilih drive file yang terenkripsi.
9. Masuk dengan hak akses adminstrator pada tiap² sharing partisi.
10. Setelah drive/partisi muncul sebagai dalam keadaan "terkunci" gunakan FTK Imager untuk membuat
gambar dari drive lokal dan dibuka ke drive jaringan yang telah dipetakan (konfiguras).
beberapa kesalahan yang sering muncul dari implementasi di atas :
- Kami telah mencoba pencitraan terkunci drive dengan dd dan dcfldd, tapi tidak berjalan dengan benar di dalam BartPE.
- Anda mungkin harus mengkonfigurasi jaringan dan / atau peta drive jaringan di BartPE lebih dari sekali sebelum memulainya. Pastikan untuk menggunakan yang disediakan Konfigurasi dengan "NET USE" atau "ipconfig" dari baris perintah "PE Network Configurator." Tidak muncul untuk bekerja dengan benar (atau sama sekali).
- Kadang-kadang ketika booting BartPE atau ketika menjalankan DMU, Anda mendapatkan BSOD "STOP 0x0500 ????". Kode-kode error tidak muncul untuk didokumentasikan di mana saja.
- DMU tidak memiliki opsi untuk membuka isi file terenkripsi dalam mode read-only.
Semoga pengalaman ini bisa di adikan bahan pelajaran buat teman-teman yang berkecimpung di dunia administrasi dan sceurity.
^_^
D4wFl1N
0 comments:
Post a Comment