Dear Readers,
Ketemu lagi sama saya yang pada kesempatan kali ini pengen ngebahas tentang FILE SIGNATURE *efek kuliah uji forensik n bukti digital :D*
Apa itu FILE SIGNATURE?
File signature adalah data yang digunakan untuk melakuan verifikasi terhadap keaslian file. Maksudnya gimana sih? Jadi gini, suatu file kan punya tipe dan ekstensi file toh? Seperti misal file gambar, ekstensi file-nya ada JPG, PNG, GIF, BMP, dll. File dokumen, ekstensi file-nya ada DOC, DOCX, PDF, ODT, dll. Nah, tugasnya file signature ini adalah untuk memastikan keaslian file yang diperiksa, apakah telah sesuai antara tipe, ekstensi, dan kontennya. Keaslian file juga bisa dicek dengan menggunakan metode hashing yang sudah dibahas di praktikum imaging.
Misal nih ya, kalau ada sebuah file gambar bertipe JPG, harusnya ekstensinya adalah JPG juga dan kontennya pasti gambar dong. Tapi mungkin saja terjadi kalau dalam penanganan kasus kejahatan digital, file-file tersebut di-rename oleh pelakunya. Nah, di sini pemeriksaan file signature akan sangat diperlukan.
Lalu, apa sih isi FILE SIGNATURE itu?
File signature berisi rangkaian karakter hexa pada awalan (header) dan akhiran (trailer) file yang membentuk suatu ciri khas bagi masing-masing tipe file. Misalnya untuk tipe file PNG, karakter hexa pada file tersebut adalah:
- Header : 89 50 4E 47 0D 0A 1A 0A
- Trailer : 49 45 4E 44 AE 42 60 82
Karena tipe file ada banyak buanget *tapi saya taunya cuman itu-itu aja :(*, maka file signature ini memiliki daftar yang buanyaaak juga.
Nah, Alhamdulillah-nya, ada orang yang berbaik hati menuliskan daftar file signature ini ke dalam laman web-nya. Uuuyeeaayy 😀 Orang itu adalah kang Gary C. Kessler yang katanya adalah:
“An independent consultant and practitioner in the areas of computer and network forensics, mobile device forensics, computer and network security, TCP/IP and the Internet, and communications protocols and standards.” (http://www.garykessler.net/gck.html)
Okey, daftar file signature dari laman web si akang tadi ada di http://garykessler.net/library/file_sigs.html. Silakan dicek ya.. 🙂
Bagaimana prakteknya?
Kalau saya sih lebih suka pakai Linux, dalam hal ini saya pakai Kali Linux.
Oke, mari kita buat percobaan sebagai berikut:
- Di sini ceritanya saya punya 2 buah file, yang 1 bertipe JPG bernama “doraemon.jpg” dan yang 1 lagi bertipe DOCX bernama “nama-nama.docx“. File ini diletakkan di direktori /home/ninkyhade.
- Cek tipe file “doraemon.jpg” dan “nama-nama.docx” dengan perintah “file“.
- Cek file signature yang ada di laman web-nya kang Gary Kessler untuk tipe file JPG dan DOCX.
- Cek signature file “doraemon.jpg” dan “nama-nama.docx” dengan program “GHex” atau dengan perintah “hexeditor“. Saya lebih suka pakai GHex soalnya outputnya pakai GUI jadi lebih jelas liatnya. Kalau hexeditor outputnya tetap dituliskan di CLI 😀
- Rename file “doraemon.jpg” menjadi “doremon.docx“.
- Lakukan langkah no. 2 dan 3 terhadap file “doraemon.docx“.
- Bandingkan hasil no. 6 dengan hasil pada no. 2 dan 3 untuk file “nama-nama.docx“.
Oke deh, langsung saja yuk.. Saya pakai CLI-nya Linux ya.. 🙂
1. Pindah ke direktori /home/ninkyhade dan cek isi direktori tersebut.
Seperti ini penampakan kontennya:
- File “doraemon.jpg“
- File “nama-nama.docx“
2. Cek tipe file “doraemon.jpg” dan “nama-nama.docx” dengan perintah “file“.
3. Cek file signature untuk tipe JPG dan DOCX di laman web kang Gary Kessler.
- File JPG (berdasarkan hasil pada no. 2 di atas, JPG-nya adalah JPEG image data, EXIF standard)
- Header : FF D8 FF E1 xx xx 45 78 69 66 00 –> xx = boleh diisi karakter hexa apa saja
- Trailer : FF D9
- File DOCX
- Header : 50 4B 03 04 14 00 06 00
- Trailer : 50 4B 05 06 followed by 18 additional bytes at the end of the file
4. Cek signature file “doraemon.jpg” dan “nama-nama.docx” dengan program “GHex“.
- File “doraemon.jpg“
Hasilnya SAMA dengan signature file JPG yang ada di web Gary Kessler.
- Header : FF D8 FF E1 36 B5 45 78 69 66 00
- Trailer : FF D9
- File “nama-nama.docx“
Hasilnya SAMA dengan signature file DOCX yang ada di web Gary Kessler.
- Header : 50 4B 03 04 14 00 06 00
- Trailer : 50 4B 05 06 00 00 00 00 0B 00 0B 00 C1 02 00 00 F7 2A 00 00 00 00
5. Rename file “doraemon.jpg” menjadi
6. Cek tipe dan signature file “doraemon.docx“.
- Tipe file “doraemon.docx“.
- Signature file “doraemon.docx“.
Hasilnya SAMA dengan signature file JPG yang ada di web Gary Kessler.
- Header : FF D8 FF E1 36 B5 45 78 69 66 00
- Trailer : FF D9
7. Membandingkan tipe dan signature file “doraemon.docx” dengan file “nama-nama.docx“.
- File “doraemon.docx” (seperti terlihat pada no. 6)
- Tipe file : JPG (JPEG image data, EXIF standard)
- Header : FF D8 FF E1 36 B5 45 78 69 66 00
- Trailer : FF D9
- File “nama-nama.docx” (seperti terlihat pada no. 2 dan 3)
- Tipe file : DOCX (Microsoft Word 2007+)
- Header : 50 4B 03 04 14 00 06 00
- Trailer : 50 4B 05 06 00 00 00 00 0B 00 0B 00 C1 02 00 00 F7 2A 00 00 00 00
Eh lho kok? tipe dan signature file “doraemon.docx” bukan merupakan karakteristik dari file DOCX yang beneran ya?
Hahaha, ya iyalah.. itu kan efek me-rename file JPG ke file DOCX tadi. Jadi, walaupun secara kasat mata di-rename, namun masih bisa dicek keaslian file-nya dengan cara:
- Mengecek tipe file-nya (perintah “file“); dan
- Mengecek file signature-nya (program “GHex” atau perintah “hexeditor“)
Jangan lupa juga untuk konfirmasi tipe dan file signature di laman web-nya kang Gary Kessler ya.. 🙂 Soalnya segitu banyak sih, kalo saya gak mungkin hapal 😀
Untuk lebih meyakinkan lagi, lihat konten file-file yang diperiksa dengan menggunakan program aplikasi yang memang support ekstensi file-nya. Misal file DOCX bisa dibuka dengan MS Word, file PDF dengan PDF Viewer, file gambar dengan melihat thumbnail di jendela explorer, dan lain-lain sesuai kebutuhan.
Baiklah, sekian dulu dari saya yang masi nubitol ini :D.. Semoga bermanfaat. Sampai jumpa insya Allah di lain posting 🙂