[ MODUL F12 ] Stego & Forensik Dasar¶
Fase: Fondasi · Estimasi: 30 menit · Prasyarat: F4, F8 Tujuan akhir: Paham steganografi (sembunyikan data di file) & dasar forensik digital (kenali file & temukan bukti tersembunyi). 📖 Glossary.
1. Briefing 🎯¶
Tak semua rahasia disandikan — ada yang disembunyikan di depan mata, di foto biasa atau file yang tampak polos. Modul ini melatih mata & alat untuk membongkarnya.
2. Materi Inti 📚¶
2.1 Stego vs Kripto¶
KRIPTOGRAFI 🔐 STEGANOGRAFI 🖼️
pesan TERLIHAT tapi teracak pesan DISEMBUNYIKAN
(orang tahu ada rahasia) (orang tak sadar ada pesan)
"x9#kp" foto kucing biasa... ada flag di dalamnya
2.2 File itu apa sebenarnya? Magic bytes¶
Tiap jenis file punya "tanda tangan" di awalnya:
PNG : 89 50 4E 47 (‰PNG)
JPG : FF D8 FF
PDF : 25 50 44 46 (%PDF)
ZIP : 50 4B 03 04 (PK..)
💡 Nama file (
.jpg) bisa berbohong. Pakaifile& lihat magic bytes. Trik klasik: ZIP/teks disamarkan jadi gambar.
2.3 Teknik stego umum¶
📎 Append → rahasia ditempel di AKHIR file (gambar tetap normal)
🔬 LSB → sembunyikan bit di bit TERENDAH tiap piksel (mata tak lihat)
🏷️ Metadata → pesan di EXIF/metadata
🔒 steghide → alat stego (kadang berkata sandi)
🧬 Polyglot → 1 file valid sebagai 2 jenis (gambar DAN zip)
2.4 🧪 Worked Example: bongkar gambar (ketik → output)¶
$ file rahasia.jpg
rahasia.jpg: JPEG image data # cek jenis sebenarnya
$ strings rahasia.jpg | tail
flag{...} # kadang flag langsung kelihatan!
$ binwalk rahasia.jpg
DECIMAL HEX DESCRIPTION
0 0x0 JPEG image
1337 0x539 Zip archive data # ADA zip tersembunyi di dalam!
$ exiftool rahasia.jpg
GPS Position : -6.20, 106.81 # koordinat tersembunyi
🎯 Urutan refleks:
file→strings→exiftool→binwalk. Murah & sering kena.
2.5 Forensik lain (kenalan)¶
- Memory forensics — analisis isi RAM dengan Volatility.
- Disk forensics — pulihkan file terhapus / file carving.
- PCAP — lalu lintas jaringan (F6).
🔖 Checkpoint¶
- [ ] Bisa bedakan stego vs kripto.
- [ ] Tahu apa itu magic bytes & kenapa ekstensi bisa bohong.
- [ ] Hafal urutan refleks:
file → strings → exiftool → binwalk.
3. 🛰️ Kacamata Intelijen Siber¶
- Penjahat pakai stego untuk menyelundupkan data (exfiltration lewat gambar biasa) — curigai file "polos".
- Forensik = mengumpulkan bukti pasca-insiden: apa terjadi, apa dicuri, jejak apa.
- Magic bytes & metadata sering jadi petunjuk pertama investigasi.
🟪 Purple: menemukan data tersembunyi (red/forensik) = mendeteksi penyelundupan data (blue).
⚠️ Kesalahan Umum¶
| Salah | Benar |
|---|---|
| Percaya ekstensi file | Cek magic bytes dengan file/xxd |
Lupa strings dulu |
strings sering langsung membocorkan flag |
| Kira stego = kripto | Stego sembunyikan keberadaan; kripto acak isi |
4. Hubungan ke Write-up CTF 🔗¶
- Transmisi Gambar (LSB), Memo Terselubung, File Poliglot (polyglot+AES), Bonus (steghide).
- Forensik: Jejak Memori/Bayangan Digital (Volatility), Warisan Disk (ext4), Flash Drive (FAT carving).
5. Rangkuman 🧾¶
- Stego sembunyikan keberadaan pesan; kripto acak isi.
- Magic bytes menentukan jenis asli — nama bisa menipu.
- Teknik: append, LSB, metadata, steghide, polyglot.
- Refleks:
file strings exiftool binwalk(+ Volatility untuk memori).
6. Uji Pemahaman ✅¶
1. Beda steganografi & kriptografi?
2. Apa itu magic bytes & kenapa jangan percaya ekstensi?
3. Jelaskan singkat teknik LSB.
4. Perintah untuk (a) teks dalam file, (b) deteksi file tersembunyi, (c) metadata?
5 (PG). Foto .png ternyata berisi ZIP — alat tercepat deteksi: A. chmod ·
B. binwalk · C. cd · D. ping
🔑 Kunci Jawaban
1. **Stego** sembunyikan *keberadaan* pesan; **kripto** acak *isi* pesan. 2. Tanda byte di awal file penentu jenis asli; ekstensi bisa dipalsukan, magic bytes lebih jujur. 3. Sembunyikan bit pesan di **bit terendah** tiap piksel; perubahan terlalu kecil untuk dilihat. 4. (a) `strings`, (b) `binwalk`, (c) `exiftool`. 5. **B.**7. Misi Berikutnya 🚀¶
Lanjut ke F13 — Setup Lab & Metodologi CTF (penutup Fondasi).
LIGHTSIBER · Modul F12 · "Yang tersembunyi di depan mata, dibongkar yang teliti."