Tutorial Helix3 (3): Incident Response dengan Windows Forensics Toolchest


WFT adalah tool yang digunakan untuk mengumpulkan segala informasi bahkan melakukan audit terkait hal-hal yang berhubungan dengan keamanan yang diterapkan di dalam sistem komputer. WFT berjalan pada mode batch menggunakan cmd kemudian menampilkan hasil analisa dalam bentuk html.
WFT yang dibundle di Helix3 tidak compatible dengan Windows 7 karena sudah kadaluarsa. Untuk dapat menjalankan WFT kita perlu mendownload versi terbaru dari WFT di website berikut:


http://www.foolmoon.net/security/wft/

Setelah mendownload WFT segera ekstrak WFT kemudian jalankan ia dengan mengklik dua kali wft.exe. Kemudian akan muncul halaman depan dari WFT.


Tekan ENTER untuk memulai menjalankan WFT

Menentukan path dari filenamenya. Pilih defaultnya saja dengan menekan tombol ENTER. Default: wft.cfg
 

Menentukan lokasi toolpath untuk menjalankan WFT. Karena WFT jalan menggunakan command prompt maka kita akan gunakan cmd dari Windows. C:\Windows\System32.
Namun bila kita hendak memakai cmd bawaan Helix bisa diketikan: E:\IR\2k atau E:\IP\2k3. || Catatan: ‘E’ menyesuaikan dengan drive lokasi CD Helix.
 

Menentukan OS Path. Karena kita tadi menggunakan cmd milik sistem operasi, maka pilih default saja dengan menekan ENTER atau dengan mengetik ‘auto’ kemudian ENTER.
 

Menentukan path dari command shell. Karena kita pakai cmd dari OS maka kita pilih auto.
 

Menentukan Destination Path. Pilih defaultnya.

Jika ingin menganalisa selurh disk pilih auto. Jika tidak bisa di tentukan mana saja yang mau di analisa.
 

Menuliskan nama investigator.
 

 Menentukan nama casenya

Menentukan format checksum. Pilih defaultnya md5.
 

Running Slow Tool. Pilih N saja.
 

Verivikasi penggunaan tool yang akan menulis di sistem. Pilih Y
 

Verifikasi laporan akan ditulis dalam format HTML. Pilih Y
 

 Verfikasi pengaktifan prompting. Pilih default N
 

Verifikasi apakah report akan dibukakan secara otomatis? Pilih Y saja.
 

 Konfirmasi sebelum menjalankan WFT. Jika sudah benar maka ENTER saja.
 

 WFT sedang memeriksa sistem. Tunggu hingga selesai.

 WFT Selesai memeriksa Drive.

Report hasil pemeriksaan WFT.

Artikel Terkait lainnya.
Artikel di atas adalah sebagian dari tutorial yang saya tulis. Untuk dapat mendownload tutorialnya gratis silakan merujuk link berikut:
Watch on Youtube

No comments:

Post a Comment