Dropbox Forensic
Bagaimana DropBox bekerja? Aplikasi ini bekerja pada Windows, Linux, Mac, iPhone, Android bahkan Blackberry.
Ketika kita mendaftar, maka kita aakn diberikan ruang penyimpanan (storage) gratis sebesar 2GB.
Fitur menarik dari Dropbox adalah recovery file yang telah dihapus karena tidak benar-benar dibuang dari penyimpanan. File ini masih bisa kita dapatkan kembali. File ini bisa dilihat di “Show deleted files” lalu kita bisa melakukan “Undelete”.
Sekarang, apakah pencurian file menggunakan Dropbox bisa dibuktikan?
Ada sejumlah cara agar file dapat diupload - local sync ke server atau upload langsung ke server. Hal ini akan meninggalkan banyak jejak, setidaknya dalam keadaan normal termasuk link file, web history, tanggal akses, userassist, dll. Jadi jika pencuri yang sudah mahir, cara ini akan ditinggalkan.
Jenis invesigasi nampaknya akan mudah, tetapi jika pengguna memakai sistem “lethal forensicator’ alias mematikan forensic maka perlu digali lebih dalam lagi. Dimanakah Dropbox diinstal? Perubahan registri apa yang telah dilakukan? Bagaimana dengan aktifitas jaringan?
Direktori Instalasi
Dropbox tidak diisntal di direktori umum “Program Files”, instalasi dilakukan dibawah profil user dalam ‘Application Data’. Pada Windows XP terletak pada ‘Documents and Settings / username / Application Data / Dropbox’, sementara pada Win7 berada di bawah ‘User / username / AppData / Roaming / Dropbox’. Didalan folder ini ada folder tambahan seperti ‘bin’, ‘Installer’, ’shelled’ dan ‘cache’. Cache ini yang nanti akan kita bahas.
Perubahan registry
Jika Dropbox sudah terintal di komputer atau piranti, maka registry harus ada yang berubah. Entah itu direktori/folder instalasi, konfigurasi, data start-up, dll. Untuk melihat perilaku instalasi ini, maka dibutuhkan “Sysinternal Process Monitor”.
Ada 172 RegCreateKey yang dimasukkan, coba dilihat beberapa yang dianggap penting.
Ada beberapa nilai SystemCertificates dan EnterpriseCertificates yang bisa dipalajari.
yang menarik adalah HKCU Software Microsoft Windows NT CurrentVersion Winlogon dan HKLM Software Microsoft Tracing, dan HKLM System CurrentControlSet Services Tcpip Parameters.
Ada 58 data “RegSetValue” yang beberapa bisa diselidiki yaitu MountPoints2 dan HKCU Software Dropbox installpath. Installpath ini diperlukan jika Dropbox sudah mengubah direktori intslasi sehingga kita bisa mencari kembali.
Basis Data File
File ‘host.db’ adalah file text biasa yang mungkin berisi nilai hash.
File ‘unlink.db’ adalah beberapa file biner.
File Config.db’ adalah file yang bersisi SQLite dan info tentang instalasi, akun dan ‘hots_id’ yang sepertinya bernilai hash md5. Berisi juga nilai alamat email yang didaftarkan ke Dropbox. Alamat email ini bisa digunakan untuk penyelidikan lebih lanjut.
File ‘filecache.db’ memiliki beberapa tabel, termasuk didalamnya adalah ‘file_journal’ yang berisi daftar semua direktori dan file didalamnya contoh umumnya pada Android bahkan Blackberry.
Rizki Pravita sari - Mobile Forensics Device Bagian 1