BAB 5
Apa yang harus di miliki oleh seorang ahli komputer forensik ? tidak cukup sekedar pengetahuan tentang teknologi informasi saja.
Diperlukan pemahaman akan proses forensik yang dimampukan oleh manusia, perangkat forensik, dan aturan. Maka tidak heran jika efisiensi waktu bukan lah hal utama; sebaliknya efektifitas dalam mendapatkan buktilah tujuan dari proses forensik.
Pengetahuan invesitigasi berpedoman pada proses, dan proses ini yang menjadi acuan langkah kerja Dengan demikian seorang examner dapat mengulang kembalu ke proses sebelumnya jika proses yang dilakukan tidak membuahkan hasil.
Data dalam komputer dikemas dalam file, maka dari itu disebut sebagai data file atau file saja. Ada banyak sekali jenis dan ragam file, mencakup file dokumen, applikasi, file yang di ciptakan waktu sistem berjalan (runtime log file), dan ada banyak media penyimpanan dengan ragam fitur dan kapasitas penyimpanan.
Lalu bagaimana dengan data-data yang ada pada media penyimpanan yang kemudian dihapus ? data yang dihapus tidak sepenuhnya hilang begitu saja dari media penyimpanan. Meskipun proses penghapusan sudah di lalui tetapi pengahapusan hanya menandai file-file sebagai file yang terhapus secara logika dan bukan secara fisik meskipun anda sudah membersihkan recyle bin sekalipun.
Butuh waktu lama agar file sepenuhnya hilang dari media penyimpan yang secara sistematis akan digunakan untuk menyimpan file lain. Dalam kasus ini masih ada kemungkinan file-file yang sudah di hapus masih mungkin di kembalikan.
Slack space pada media peyimpanan memasukan lokasi yang tidak terpakai dan di kelola mengacu pada file sistem yang di gunakan.
Sedangkan free space merupakan lokasi penyimpanan yang dapat digunakan kemudian tapi tidak serta-merta kosong, dimungkinkan ada data di dalamnya mungkin karena proses delete. Dan masih di mungkinkan data di peroleh dari free space.
Dalam pemeriksaan, dilakukan hanya terhadap data hasil backup, bukan data yang sesunguhnya dan akses read only akan menjaga konsistensi/integritas data.
Dalam melakukan ekstraksi data, anda harus tahu file-file apa saja yang ada didalamnya . untuk mengetahui karakteristik file, dapat kita lihat extension file tersebut.
Mengunakan software forensik, beberapa fungsi fitur yang terdapat pada software forensik sehubungan penanganan data file antara lain:
1. File viewer (menampilkan konten sebuah file).
2. File non-kompresi (uncompressing files).
3. Menampilkan struktur direktori dalam interface grafis.
4. Mengindentifikasi file yang tidak dikenal.
5. Melakukan pencarian terhadap string atau pola tertentu.
6. Mengakses data.
Berbagai tool forensik dapat digunakan untuk proses analisa. Sebagai pengingat, perhatikan file times dan waktu sistem. Temuan-temuan akan muncul sehubung tahap ini, yakni kapan kejadian terjadi, kapan waktu file dibuat atau dimodifikasi, serta kapan e-ail di kirim Tool-tool forensik yang melibatkan analisis mendalam akan memberikan kepada anda rangkaian kejadian secara sistematis.
Dalam memandang data dalam sistem oprasi umumnya kita golongkan ke dalam dua bagian, yaitu data volatile dan non-volatile.
Yang tergolong dalam data non-volatile yaitu:
1. File konfigurasi
2. Log file
3. Application
4. Data file
5. Swap file
6. Dump file
7. Hibernation file
8. Temporary file
Yang termaksud data volatile yaitu :
1. Slack space
2. Free space
3. Network configuration
4. Network connection
5. Running process
6. Open file
7. Login session
8. Oprating system time
Dari data karakterisik data sistem oprasi tentunya dibedakan dalam mengumpulkan data volatile dan non-volatile.
Jenis data volatile os:
1. Content of memory (Ram)
2. Network configuration
3. Network connection
4. Running process
5. Open file
6. Login session
7. Oprating system time
Ternyata tidak melulu mengandalkan software forensik dalam prosesnya, beberapa aplikasi lain dapat digunakan. Kita golongkan aplikasi ini ke dalam kategori “software umum” misalnya:
1. Os command prompt
2. Sha-1 checksum
3. Directory list
4. String search
5. Text editor
Berikut didaftarkan data-data berdasarkan urutan prioritas untuk ditangani terlebih dahulu:
1. Network connection
2. Login session
3. Content of memory (Ram)
4. Running process
5. Open file
6. Network configuration
7. Oprating system time
Mengumpulkan data no-volatile umumnya dapat diberlakukan tahapan sebagai berikut:
1. Melakukan shutdown sistem oprasi
2. Remove power dari sistem
Kemampuan tool atau ultilitas pada sistem operasi mampu mengorganisasi dan menyimpan informasi berharga yang sangat berguna untuk keperluan investigasi:
1. Manajemen users and group
2. Password
3. Network share
4. Log
Selain dari berbagai tool/utilitas yang secara lansung dapat mengakses dan menampilkan tool-tool lain untuk menggali informasi
Hanya sekedar memahami komputer, bagaimana data dan file komputer ditangani dan dikelola tidaklah cukup. Dan mengerti hardware, software mencakup sistem oprasi dan berbagai aplikasi itupun belum cukup.
Examiner harus berurusan dengan bukti yang tergolong rentang hilang/rusak pembiasan atau hilangnya data sangat dimungkinkan terjadi karena beberapa faktor, antara lain:
1. Pemakai melakukan perubahan terhadap bukti.
2. Bukti sangat mudah dirusak atau di modifikasi.
3. Kesalahan dalam menangani data dan media penyimpanan akan sangat berpengaruh terhadap data yang menjadi bukti.
Aksi keriminal pun makin rapi dan terorganisasi, mungkin sudah direncanakan dengan sedemikian rupa. Examiner harus teliti mengalamti aktivitas dan perilaku, misalnya saja yang dilakukan (dalam ruamng lingkup internet, sebaran data akan melebar dan melibatkan pula kebutuhan informasi yang tersimpan pada isp) sebab berikurt:
1. Berbagi informasi dan bertransaksi.
2. Memalsukan document.
3. Menggunkan identitas lain.
4. Sewaktu mendistribusikan informasi atau mendistribusikan informasi yang salah.
5. Alokasi data pada worksation, server, atau oraganisasi lain.
6. Bagaimana seandainya tindak kriminal melibatkan pula jalinan komunikasi
7. Catatan pada internet service provider.
Kelompok 5
- Bayu Dwi Prasetyo
- Bimo Risdianto
- Fajar Ikhwan
- Mawardi Gayo
- Ryan Kresna
Tidak ada komentar:
Posting Komentar