08 April 2014

Scan of the Month 24

Pertama kali mendapatkan berkas SoM24 memastikan md5-nya sama. Alat bantu yang terpikir pertama kali untuk melihat isi dari berkas image menggunakan Autopsy. Padahal menggunakan perintah strings sebenarnya bisa melihat isi dari berkas image tersebut. Autopsy saya gunakan untuk mengunduh Jimmy Jungle.doc dan melihat FAT Contents-nya.

Untuk mendapatkan berkas coverpage.jpg dengan berkas image diekstrak terlebih dahulu, dd if=~/bb-digital/image of=~/bb-digital/coverpage.jpg bs=512 count=31 skip=73. Melihat pesan yang tersembunyi di berkas coverpage.jpg yang merupakan password dari berkas Schedule.Visits.xls yang terkompres menggunakan perintah strings coverpage.jpg. Hasilnya seperti dibawah ini namun saya ambil bagian atas dan bawah saja.
JFIF
 $.' ",#
(7),01444
'9=82<.342
!22222222222222222222222222222222222222222222222222
----dipotong----
R*]I
oqk4
I+^L
pw=goodtimes
Berkas Schedule.Visits.xls terkompres dalam Schedule.Visits.zip, untuk mengekstraknya menggunakan perintah dd if=~/bb-digital/image of=~/bb-digital/Schedule.Visits.zip bs=512 count=5 skip=104. Selanjutnya berkas Schedule.Visits.zip diekstrak menggunakan perintah unzip disertai password goodtimes.

Semua ini saya menggunakan Linux Mint 16. Tentu hampir kegiatan menggunakan perintah teks kecuali Autopsy yang berbasis web dan membuka berkas menggunakan LibreOffice. 

No comments:

Post a Comment

Disqus for Dedy selalu Milisdad