Pages

File Signature & Magic Number

Rabu, 27 Maret 2013

Salah satu hal yang berhubungan dengan forensik digital adalah "File Signature dan Magic Number".
Dimana, kapanpun, bagaimanapun seorang ahli forensik pasti akan berhubungan dengan yang namanya data-data digital, dan File Signature adalah salah satu teknik ilmu forensik yang membantu dalam bidang pengolahan data tersebut.

Apa sih File Signature itu ?
"data used to identify or verify the content of a file"
Data yang diperlukan untuk di identifikasi atau dipastikan sebagai konten dari suatu file.
File Signature juga pada umumnya dikenal sebagai ;

  • File Magic Number*, byte didalam file yang digunakan untuk mengidentifikasi format dari sebuah file, biasanya dapat diidentifikasi pada bagian dari awal dari sebuah file. Ukurannya berkisar antara 2-4 byte. Contonhya, sebuah file dengan tipe ISO memiliki magic number 43 44 30 xx xx
  • File Checksum, umumnya digunakan sebagai hasil dari sebuah fungsi Hash dari file content. File Checkcum terutama digunakan untuk melakukan verifikasi integritas file dari error transmisi atau dari serangan. Signature jenis file checksum ini akan ditempatkan pada awal / akhir file atau dapat pula pada file yang terpisah 
 nb : untuk melihat lebih lengkap tipe-tipe file bisa langsung kesini > http://www.garykessler.net/library/file_sigs.html

Kapan sih ilmu ini digunakan ?
Seperti dari pengertian File Signature/File Magic Number yang diatas, ketika kita akan melakukan pengidentifikasian suatu konten data/file.

Contoh kasus :
Ketika kita menerima suatu file bertipe jpg dan saat akan dibuka file/data tersebut tidak bisa terbuka
pada Image player manapun, sehingga kita bisa berasumsi file/data tersebut corrupt/rusak. Apa benar rusak ? Sebaiknya kita pastikan terlebih dahulu. Caranya ? Dengan melakukan teknik File Signature, Membuka lebih dalam file/data tersebut dengan membaca byte-nya sehingga bisa menimbulkan pertanyaan baru apa benar file/data tersebut bertipe jpg? Ketika kita bisa melihat dangan mengetahui byte-nya kita dengan pasti bisa tahu file/data tersebut bertipe apa. Dan alhasil itu adalah file/data bertipe mp4 (video). Dari mana bisa tahu? Dengan mencocokan magic number yang dimiliki file/data yang awalnya jpg dengan daftar magic number yang kita punya.

Sebelumnya, File Signature tidak bisa dilihat dengan begitu saja atau secara langsung, harus menggunakan tools tertentu yaitu Hex Editor. Saat ini saya menggunakan WinHex, atau aplikasi yang bagus lainnya adalah 010 Editor. Dengan tools tersebut barulah kita bisa melihat dalam-dalamnya suatu file/data.

Tapi secara garis besar ada file yang tidak memiliki Magic Number, seperti plain text ; HTML, XHTML, XML.

Saran : Kalian bisa dengan mudah mempelajarinya secara langsung/praktek, caranya kalian buat file sendiri (untuk sample) bertipe docx (terserah juga bisa), kemudian setelah jadi kalian rubah tipenya ke jpg. File yang sudah dirubah yang awalnya docx ke jpg tes untuk di buka secara normal, isi dari tidak docx yang sebenarnya pasti tidak terbuka (untuk memastikan), kemudian masukkan file tersebut ke tool Hex Editor (WinHex, dsb...), lihat magic number yang paling atas dan pertama (apakah seperti ini 50 4B 03 04 14 00 06 00) padahal untuk file bertipe jpg harusnya (seperti ini FF D8 FF xx xx > biasa 3 terdepan menjadi patokan*) berarti file jpg tersebut sebenarnya adalah docx (docx memiliki magic number 50 4B 03 xx xx xx). Seperti itu.
* yang di block

Sekian pembahasan dari File Signature dan Magic Number, semoga bisa bermanfaat dengan baik buat kita semua.



Source di dapat dari :
http://en.wikipedia.org/wiki/File_signature
http://www.garykessler.net/library/file_sigs.html
http://prayudi.wordpress.com/2012/09/04/file-signature-dan-magic-number/

2 komentar:

  1. Unknown mengatakan...:

    Terus semangat untuk selalu menulis>>>>
    dan selalu perhatikan untuk mencantumkan sumber tulisan..
    agar menjadi smartBloger..
    :)

  1. tomo_kumvau mengatakan...:

    Siap pak...semoga semangat saya selalu terjaga untuk membagi dan membantu yang lainnya menyebarkan ilmu forensik digital.
    Terima kasih sudah berkunjung.

Posting Komentar

 
Computer Forensic © 2011 | Designed by RumahDijual, in collaboration with Online Casino, Uncharted 3 and MW3 Forum