1

Topic: [masquerade act]Hacker jerman dan Mahasiswi Turkey [masquerade act]

Apa sih masquerade act??ini tuh cerita konyol yang sebatas imajinasi ane rangkai sedemikian rupatapi di balut sedikit tutorial cupujadi bila ada kesamaan tokoh kejadian dalam peranannyaadalah kejadian yang di sampaikan terima kasihPemeran =>Rapiah : Nofia FitriAditya : KeTeKFULL COPASED FROMhttp://devilzc0de.org/forum/thread-10906.html*CEKIDOT!!!


di sebuah taman kota...di negeri panser,anggep aja taman bonek
seorang pria bernama aditya sedang membeli snack khas turki yaitu dondurma
karena dia pengen banget ngasih yang "sesuatu banget" sama anak dari landlordnya
sebenarnya aditya ini orang indonesia ajah cuma kuliah di jerman

sebut saja drew barrymore cewek sexy yang selalu membantu ibunya menagih uang kontrakan di flat tempat aditya tinggal
rencananya aditya akan membawakan 1bunga daffodil dan es krim dari turki tadi
cewek bavaria dengan tinggi 175 dan 35B emang beneran udah deket sama aditya
termasuk bantuin komputernya yang kena virus t3r5354t sebenerny virus ini kurang sangar
cuma selalu munculin tulisan "orang ganteng stock terakhir,seniman maya impresi maha metal" yang bikin si drew kesel

tapi aditya tau bahwa targetnya adalah rapiah,gadis indonesia yang memiliki kesamaan segala sesuatunya
namun tinggal di turki jadinya sore ini dia akan ke sana dan menyatakan cintanya dengan bunga dan eskrim tersebut
(gue juga bingung kenapa dari tadi yang di ceritain drew barrymore dead )

awal perkenalan mereka saat mengerjakan sebuah proyek open source dari komunitas
di tanah airnya yaitu proyek 'unyu-unyu' yang mana membuat 1klonengan perempuan khas alay
dengan meyakinkan komunitas tersebut membuat papers keren khas bahasa alay yaitu 'praktek buffer overflow'
seolah mereka percaya pembuat papers tadi cewek asli dengan tujuan menyadarkan
para mahok yang ada di komunitas tersebut,tapi apa daya setelah seseorang memergokinya
bahwa itu adalah kerjaan pasangan hacker tadi,mereka jadi sangsi kalau mau mendekati perempuan
dan tetap pada eksistensinya seorang m*h*

sesampainya di istanbul.....

"eh aku nggak jadi pakai jacket hijau aku cuma pake kaos lengan panjang warna putih soalnya kan di pantai selatan
takut di culik nyi roro kidul"ucap aditya via telepon
"ok 10menit lagi aku nyampe di pantai patara,kamu stay di sana yah,nanti aku telepon lagi"jawab si rapiah

setelah ketemu mereka kaget,ternyata yang di nanti adalah diri sendiri
bukan orang lain,jadi dia bertemu diri sendiri sampai telor dadarnya gosong dead
(piss)

"kok kamu bawain aku dondurma sih...kan di sini banyak,kalau daffodilnya aku suka"kata rapiah tersipu malu
"wah iya ya,habis kalau aku bawain apel malang nantinya harus pesen sama papaku dulu dong"aditya ngeles
"di sini indomie susah nyarinya,nah kalau mau makan indomie aku harus terbang ke belanda baru deh nemu,ini ceritaku apa ceritamu"rapiah ngerayu
"gimana lanjutan project kita??project kecil-kecilan sih tapi lumayan loh buat bayar vps+domain kerinci.net mu itu
kasian kena suspend ngakak"rapiah nanya tiada henti
"enak aja,aku kan udah 180cm masa di bilang kecil sesuai permintaanmu harus kuliah dulu dan minum susu tinggi minimal 180cm tongue"
"wkwkwk serius deh,ini projek dari kampus buat recovery,kamu pasti bisa"
"ok deh kita coba bareng ya"

dan mereka berlalu diatas metromini yang dari pasar senen - tanah abang (via istanbul)
"ketua umum PPI kan senior di kampusku,nah servernya habis di hack sama hacker,itusial di user barunya 'oela'
dia bayar kita buat investigasi,katanya hacker itu balas dendam karena di putusin cowoknya si reski
kayaknya buat jalanin worm gtu deh DdoS rt/rw net mantannya"

"eh kamu tuh katanya pacarku,kok ngelirikin cew-cew lain sih"rapiah cemburu
"nggak sayang aku bingung ajah,perasaan inisial deh bukan itusial"adit ketakutan
"sekali lagi ngelirikin cew-cew GUE CULEK MATA LOE!!!"ancam rapiah

(*Penulis : Busetttt sadis amattt maling)

sesampainya di tempat tujuan....
aditya segera menggarap yang seharusnya dia garap

servernya kok pake MAC sih... (gumam aditya)
"pertama-tama gue harus baca informasi file sistemnya di vulme header,toolsnya make sleuth kit"aditya bisikin si rapiah
dan aditya mengetik perintah 'fsstat'

FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: HFS+
File System Version: HFS+
Volume Name: image
Volume Identifier: 9bee54da586b82f5
Last Mounted By: Mac OS X, Journaled
Volume Unmounted Properly
Mount Count: 11
Creation Date: Thu Jan 29 09:33:30 2009
Last Written Date: Thu Jan 29 09:33:42 2009
Last Backup Date: Wed Dec 31 16:00:00 2009
Last Checked Date: Thu Jan 29 09:33:30 2009
Journal Info Block: 2
METADATA INFORMATION
--------------------------------------------
Range: 2 - 28
Bootable Folder ID: 0
Startup App ID: 0
Startup Open Folder ID: 0
Mac OS 8/9 Blessed System Folder ID: 0
Mac OS X Blessed System Folder ID: 0
Number of files: 7
Number of folders: 4
CONTENT INFORMATION
--------------------------------------------
Block Range: 0 - 2559
Allocation Block Size: 4096

dah keliatan banget Allocation Block Size memorinya 4K
volume yang beginian biasanya nampilin '0' shortcutnya langsung ke item
di /System/Library/CoreServices volume direktory pas booting OS X

"say,kita bisa make ini http://www.catacombae.org/hfsx.html"aditya mulai semangat
"wah kamu hebat,aku mau jada pacarmu!!!tapi itu apaan say"sambut rapiah
"ah kamu ikut2an manggil 'say' emangnya aku saython apa iia -,-!
ini sih open source tools yang bisa di andalin buat teliti lebih jauh lagi ama si
HFS,HFS+ ato HFSX volume itu ndiri,masing-masing file juga bisa di
ekstrak lagi biar lebih rinci"
[Image: rapiah1.jpeg]
"nah sekarang kita lanjut meriksanya make FLS teteup ciieyyyn sleuth kit"kata aditya sok imut

fufufu:~$ fls nps-directory-hfs.unyu-unyu/server.fufufufu.dmg
r/r 3: $ExtentsFile
r/r 4: $CatalogFile
r/r 5: $BadBlockFile
r/r 6: $AllocationFile
r/r 7: $StartupFile
r/r 8: $AttributesFile
d/d 21:
.fseventsd
d/d 19:
.HFS+ Private Directory Data^
r/r 16: .journal
r/r 17: .journal_info_block
d/d 20:
.Trashes
r/r 24: oela.txt
r/r 25: reski.txt
d/d 18:
^^^^HFS+ Private Data

"itu apa sayang..."tanya rapiah
"ini yang tanda $ file HFS+ yang merujuk file khusus nantinya kita jadiin
patokan dari file system strukturnya sih gk beda jauh ama volume file
hidden kayak MFT pokoknya yang ada hubungannya ama NTFS deh"
"aduh sayang aku masih bingung deh MAC soalnya aku lebih sering make
linux..."rapiah garuk-garuk tembok.
"sayang...kamu percaya kan sama aku,liat mataku...terpancar sebuah
gelora asmara menggebu untuk kita jalani..."rayu aditya

"yang aku tanya ini artinya APAAAANNNN!!!bukan GOMBALAANNNN!!!"rapiah
mulai bete

"ok ok gk usah emosi,yang beginian sih file alokasinya bitmap buat trace
status masing-masing blok volume,nah aktifitas sistem kan bakalan di catet tuh
buat tiap file ama direktori yang fungsinya sama kl om File Table
itu nggak jauh beda ama sistem file NTFS,contoh di sini kan HFS+ ngasih Catalog Note sebesar
8K termasuk library CNID atau parent CNID nya,atau kl gk mau
ribet anggep ajah timestamp metadata deh"

"o0o..jadi konten file yang ampe overflow kayak gini buat recordnya fork
karena nantinya ngasih kita informasi lanjut ama resourcenya
tadi iia...hihihi aku mulai nyambung"rapiah tersenyum manis,maniiiiissssssssssss banget santai
"kamu emang pinter sayang..."puji aditya
"ya udah ah,kita makan es krimnya dulu..."ajak rapiah

(sementara 2 aktor tadi lagi break makan es krim,si penulis lagi merokok
dulu sambil ngirim sms iseng ke salah satu moderator jasakom tongue)

*Backsound Selamanya Cinta - D'cakillmons

"sayang kok D'cakillmons sih lagunya...."protes rapiah
"nggak tau juga nih kok bisa iia,nggak mau di ganti lagi -,-!"aditya juga bingung,rapiah bingung
pembaca bingung,aurel666 tambah bingung,wenkhairu ikut-ikutan bingung

"coba deh ya sayang,kita catet 1item yang vital ini,fungsinya buat pemetaan alokasi CNID yang nilainya 32bit trus di alokasikan secara berurutan mulai
dari 16 sampe perulangan terus menerus...sampe di bulatkan 32bit lagi sebenernya ini simple kok CNID nya buat ngasih tanda waktu
pemakaian,penggunaan,pengeditan terakhir oleh si superadmin tandanya di dlm file yang nilai-nilai lebih tinggi dari CNID"

gantian rapiah yang plonga-plongo....
"buat meriksa metadata file tunggal lebih detai lagi pake perinta ISTAT"jelas aditya.

fufufufu:~$ istat nnps-directory-hfs.unyu-unyu/server.fufufufu.dmg 24
Catalog Record: 24
Allocated
Type: File
Mode: rrw-r--r--
Size: 28
uid / gid: 501 / 501
Link count:
1
Admin flags:
0
Owner flags:
0
File type:
0000
File creator:
0000
Text encoding:

0
Resource fork size: 0
Times:
Created:
Sat Oct 29 09:33:42 2011
Content Modified:

Sat Oct 29 11:16:09 2011
Attributes Modified: Sat Oct 29 12:03:51 2011
Accessed: Sat Oct 29 09:33:35 2011
Backed Up: Wed Dec 31 16:00:00 2010
Data Fork Blocks:
2315

"nah kan keliatan sayang 'Catalog Record support five timestamps' cuma sekarang
ini ada 4 yang di pake buat implementasikan HFS+"

Created: <= maksudnya di update pas filenya di buat
Content Modified: <= di update pas filenya di edit
Attributes Modified: <= di update pas atribut (metadata) yang nge-link file yang dimodif
sama kayak perubahan inode (index node) / metadata di *NIX sistem file.
Accessed: <= di update pas file nya di akses
Backed Up: <= fieldnya udah gk ada biasanya rusak atau karena proses berlebih
yang jadi penyebab zombie dengan kapasistas mini di PID sys kita

"sekarang tinggal ekstrak isi file ajah dong jadinya,make 'icat' aja aku sukanya wawa"jawab rapiah

fufufufu:~$ icat nps-directory-hfs.unyu-unyu/server.fufufufu.dmg 24
New file 1 contents - snarf

"pinter banget kamu cintaku,tapi aku suka yang ini"aditya ngegombal lagi.

fufufufu:~$ blkcat nps-directory-hfs.unyu-unyu/server.fufufufu.dmg 2315
New file 1 contents - snarf

"flexible aja sih,soalnya kan kita dump allocation block secara langsung pake 'blkcat' karena kita bisa liat nilai block
dalemannya output 'ISTAT' yang bakal munculin 'Data Fork Blocks' "jelas aditya

"tapi menurutku di sini kelemahannya"tunjuk rapiah ke arah idung aditya
"recovery file di hapus dari volume HFS+ yang emang sulit banget soalnya
mensingkronkan B-Tree structure di dalemannya Catalog File tadi,file informasi metadata biasanya
di overwrite setelah log nya di hapus dari sistem file,terus gimana sayang.."rapiah putus asa.

"sebenernya OS X ini sistem yang lumayan kondusif (jangan tanya artinya penulis juga bingung tapi ngerasa keren ajah ama kalimat itu)
yang biasanya nyimpen daftar properti ada 2 jenis file nya Plain Text (daftar properti XML) ama Plist binary

Plain Text bisa di liat secara langsung atau dalam format XML buat nampilin program kalau Plist binernya harus di konvert dulu ke plain text buat
analisa soalnya biar singkong ama plain text
kita nggak usah susah-susah coding buat ngasih command line plutil itu
soalnya udah ada perl script buat konvertnya"jelas aditya panjang lebar

#!/bin/sh
# plist_chk.sh

# Check that we are being run as root
if [ $USER != "root" ]; then
  echo "You must be root to execute this script."
  echo ""
  exit 1
fi

find /Library/Preferences -name "*.plist" -print0 | \
xargs -0 /usr/bin/plutil -lint -s
find /Users -name "*.plist" -print0 | \
xargs -0 /usr/bin/plutil -lint -s

"waaah itu codernya yang om Pete M.Wilson itu kan...."rapiah histeris
"Alhamdullilah yah sesuatu banget..."ucap mereka bersamaan

"logikanya sih gampang ajah,pas ada plis file biner,si plutil.pl tadi
bakalan parsing file ama output versi plain text ke direktori yang sama"sambung aditya

"loh konfigurasi lokal OS X sys kan di simpen di file Plist directory
/Library/Preferences/SystemConfiguration,soalnya file preferensinya plist
ada pengaturan umum buat semua interface network yang 1server"rapiah kritis

"bener banget sayang,bahkan information location spesifik
network si super admin tadi,karena file ini juga ngasih petunjuk 'host name' dari komputer yang
penting buat meriksa yang 1 server tadi."sambung adit

"contohnya kayak gini..."

<dict>
<key>fufufufu</key>
<string>forensic-macpro</string>
<key>ComputerNameEncoding</key>
<integer>1536</integer>
</dict>
<dict>
<key>Identifier</key>
<string>IPv4.Router=172.17.9.254;IPv4.RouterHardwareAddress=00:
16:46:44:9a:43</string>
<key>Services</key>
<array>
<dict>
<key>IPv4</key>
<dict>
<key>Addresses</key>
<array>
<string>172.17.9.47</string>
</array>
<key>InterfaceName</key>
<string>en0</string>
<key>Timestamp</key>
<date>2011-29-10T20:15:59Z</date>
</dict>

"beberapa log nya udah di hapus bahkan udah expire karena mungkin ajah
history networknya di delete jadi nggak bisa simpen,termasuk timestamp"aditya bingung,rapiah bingung
wenkhairu bingung,petimati bingung,aurel666 bingung

(*penulis,anjrit kenapa mereka ikut2an bingung,harusny kan cuma rapiah ama aditya doank dead)


"OS X ini gk beda jauh kok ama LINUX BSD atau *NIX sejenis-jenisnya
cuma nyimpen log ny agak beda dikit :
/private/var/log
dan dia daemon syslog,yang terus running sekalipun banyak syslog laen
yang overflow karena proses di matiin secara pakse terus-menerus
patokannya kan semua applikasi yang jalan (khusus di OS X)
bakal nyimpen log di /Library/Logs
bahkan termasuk "Update.log" file yang fungsinya ngelacak update sistem
entah itu termasuk 'crashreportnya,hang reportnya,atau log PanicReport'
yang ngasih record kesalahan applikasi dan kernel"aditya retorikal.

fsck_hfs.log <= catetan semwa HFS/HFS+ /HFSX
system.log <= buat catch semwa log (sama kayak 'messages' di linux)
secure.log <= catetan semwa otentikasi sistem,termasuk screensaver ama SSH akses

"biasanya user bakal punya Plist sendiri yang nyimpen otomatis di
/private/var/db/dslocal/node/default/users
sama kok kalo di linux /etc/passwd
termasuk default user shell yang nampilin UID user
informasi grupnya di simpen di
/private/var/db/dslocal/node/Default/groups
formatnya juga sama"kata adit

"kan yang paling penting file 'admin.plist' di direktori 'groups'
buat periksa file yang nentuin si user ini 'root' asli atau 'root' yang dapetnya dari nyusup??"

<array>
<string>Administrator</string>
</array>
<key>users : oela</key>
<array>
<string>root</string>
<string>user1</string>
</array>

"nah kan muncul...administrator di sini namanya bukan oela nohope"kata rapiah
"ok coba kita periksa lanjut"adit mulai berkeringat

"/Library/Preferences/com.apple.loginwindow.plist
ini file isinya informasi tentang last user yang login ke sini
dan private beneran" <= kali ini penulis lupa,siapa yang ngomong itu metal

<key>lastUser</key>
<string>loggedIn</string>
<key>lastUserName</key>
<string>fufufufu</string>

*Keterangan :
lastUser = user yang terakhir masuk,entah udah jadi root atau dari shared host
loggedIn = IP
lasUserName = kl sempet dari root dan adduser
fufufufu = tukang forensicnya

*referensi :
http://www.thexlab.com/faqs/performance.html
http://www.cleverfiles.com/mac-file-recovery.html
http://www.syngress.com/digital-forensic...D-Toolkit/
http://www.peachpit.com/articles/article...8&seqNum=2
http://hints.macworld.com/article.php?st...9015511914
http://stackoverflow.com/questions/62151...mmatically