Praktikum: File Signature

Dear Readers,

Ketemu lagi sama saya yang pada kesempatan kali ini pengen ngebahas tentang FILE SIGNATURE *efek kuliah uji forensik n bukti digital :D*

Apa itu FILE SIGNATURE?

File signature adalah data yang digunakan untuk melakuan verifikasi terhadap keaslian file. Maksudnya gimana sih? Jadi gini, suatu file kan punya tipe dan ekstensi file toh? Seperti misal file gambar, ekstensi file-nya ada JPG, PNG, GIF, BMP, dll. File dokumen, ekstensi file-nya ada DOC, DOCX, PDF, ODT, dll. Nah, tugasnya file signature ini adalah untuk memastikan keaslian file yang diperiksa, apakah telah sesuai antara tipe, ekstensi, dan kontennya. Keaslian file juga bisa dicek dengan menggunakan metode hashing yang sudah dibahas di praktikum imaging.

Misal nih ya, kalau ada sebuah file gambar bertipe JPG, harusnya ekstensinya adalah JPG juga dan kontennya pasti gambar dong. Tapi mungkin saja terjadi kalau dalam penanganan kasus kejahatan digital, file-file tersebut di-rename oleh pelakunya. Nah, di sini pemeriksaan file signature akan sangat diperlukan.

Lalu, apa sih isi FILE SIGNATURE itu?

File signature berisi rangkaian karakter hexa pada awalan (header) dan akhiran (trailer) file yang membentuk suatu ciri khas bagi masing-masing tipe file. Misalnya untuk tipe file PNG, karakter hexa pada file tersebut adalah:

  • Header : 89 50 4E 47 0D 0A 1A 0A
  • Trailer : 49 45 4E 44 AE 42 60 82

Karena tipe file ada banyak buanget *tapi saya taunya cuman itu-itu aja :(*, maka file signature ini memiliki daftar yang buanyaaak juga.

Nah, Alhamdulillah-nya, ada orang yang berbaik hati menuliskan daftar file signature ini ke dalam laman web-nya. Uuuyeeaayy 😀 Orang itu adalah kang Gary C. Kessler yang katanya adalah:

An independent consultant and practitioner in the areas of computer and network forensics, mobile device forensics, computer and network security, TCP/IP and the Internet, and communications protocols and standards.” (http://www.garykessler.net/gck.html)

Okey, daftar file signature dari laman web si akang tadi ada di http://garykessler.net/library/file_sigs.html. Silakan dicek ya.. 🙂

Bagaimana prakteknya?

Kalau saya sih lebih suka pakai Linux, dalam hal ini saya pakai Kali Linux.

Oke, mari kita buat percobaan sebagai berikut:

  1. Di sini ceritanya saya punya 2 buah file, yang 1 bertipe JPG bernama “doraemon.jpg” dan yang 1 lagi bertipe DOCX bernama “nama-nama.docx“. File ini diletakkan di direktori /home/ninkyhade.
  2. Cek tipe file “doraemon.jpg” dan “nama-nama.docx” dengan perintah “file“.
  3. Cek file signature yang ada di laman web-nya kang Gary Kessler untuk tipe file JPG dan DOCX.
  4. Cek signature file “doraemon.jpg” dan “nama-nama.docx” dengan program “GHex” atau dengan perintah “hexeditor“. Saya lebih suka pakai GHex soalnya outputnya pakai GUI jadi lebih jelas liatnya. Kalau hexeditor outputnya tetap dituliskan di CLI 😀
  5. Rename file “doraemon.jpg” menjadi “doremon.docx“.
  6. Lakukan langkah no. 2 dan 3 terhadap file “doraemon.docx“.
  7. Bandingkan hasil no. 6 dengan hasil pada no. 2 dan 3 untuk file “nama-nama.docx“.

Oke deh, langsung saja yuk.. Saya pakai CLI-nya Linux ya.. 🙂

1. Pindah ke direktori /home/ninkyhade dan cek isi direktori tersebut.

blog - home ninkyhade

Seperti ini penampakan kontennya:

  • File “doraemon.jpg

doraemon

  • File “nama-nama.docx

nama-nama
2. Cek tipe file “doraemon.jpg” dan “nama-nama.docx” dengan perintah “file“.

blog - file

3. Cek file signature untuk tipe JPG dan DOCX di laman web kang Gary Kessler.

  • File JPG (berdasarkan hasil pada no. 2 di atas, JPG-nya adalah JPEG image data, EXIF standard)

jpg

  • HeaderFF D8 FF E1 xx xx 45 78 69 66 00 –> xx = boleh diisi karakter hexa apa saja
  • TrailerFF D9
  • File DOCX

docx

  • Header50 4B 03 04 14 00 06 00
  • Trailer50 4B 05 06   followed by 18 additional bytes at the end of the file

4. Cek signature file “doraemon.jpg” dan “nama-nama.docx” dengan program “GHex“.

  • File “doraemon.jpg

blog - ghex doraemon jpg

ghex-doraemon-begin

ghex-doraemon-end
Hasilnya SAMA dengan signature file JPG yang ada di web Gary Kessler.

  • Header : FF D8 FF E1 36 B5 45 78 69 66 00
  • Trailer : FF D9
  • File “nama-nama.docx

blog - ghex nama-nama docx

ghex-nama-nama-begin

ghex-nama-nama-end
Hasilnya SAMA dengan signature file DOCX yang ada di web Gary Kessler.

  • Header50 4B 03 04 14 00 06 00
  • Trailer50 4B 05 06   00 00 00   00 0B 00   0B 00 C1   02 00 00 F7 2A 00 00 00 00

5. Rename file “doraemon.jpg” menjadi

blog - rename

6. Cek tipe dan signature file “doraemon.docx“.

  • Tipe file “doraemon.docx“.

blog - file doraemon docx

  • Signature file “doraemon.docx“.

blog - ghex doraemon docx

blog - header doraemon docx

blog - trailer doraemon docx

Hasilnya SAMA dengan signature file JPG yang ada di web Gary Kessler.

  • Header : FF D8 FF E1 36 B5 45 78 69 66 00
  • Trailer : FF D9

7. Membandingkan tipe dan signature file “doraemon.docx” dengan file “nama-nama.docx“.

  • File “doraemon.docx” (seperti terlihat pada no. 6)
  • Tipe file : JPG (JPEG image data, EXIF standard)
  • Header   : FF D8 FF E1 36 B5 45 78 69 66 00
  • Trailer   : FF D9
  • File “nama-nama.docx” (seperti terlihat pada no. 2 dan 3)
  • Tipe file : DOCX (Microsoft Word 2007+)
  • Header   : 50 4B 03 04 14 00 06 00
  • Trailer   : 50 4B 05 06 00 00 00 00 0B 00 0B 00 C1 02 00 00 F7 2A 00 00 00 00

Eh lho kok? tipe dan signature file “doraemon.docx” bukan merupakan karakteristik dari file DOCX yang beneran ya?

Hahaha, ya iyalah.. itu kan efek me-rename file JPG ke file DOCX tadi. Jadi, walaupun secara kasat mata di-rename, namun masih bisa dicek keaslian file-nya dengan cara:

  1. Mengecek tipe file-nya (perintah “file“); dan
  2. Mengecek file signature-nya (program “GHex” atau perintah “hexeditor“)

Jangan lupa juga untuk konfirmasi tipe dan file signature di laman web-nya kang Gary Kessler ya.. 🙂 Soalnya segitu banyak sih, kalo saya gak mungkin hapal 😀

Untuk lebih meyakinkan lagi, lihat konten file-file yang diperiksa dengan menggunakan program aplikasi yang memang support ekstensi file-nya. Misal file DOCX bisa dibuka dengan MS Word, file PDF dengan PDF Viewer, file gambar dengan melihat thumbnail di jendela explorer, dan lain-lain sesuai kebutuhan.

Baiklah, sekian dulu dari saya yang masi nubitol ini :D.. Semoga bermanfaat. Sampai jumpa insya Allah di lain posting 🙂

 

Leave Comment

Your email address will not be published. Required fields are marked *