Sistem Operasi Untuk Komputer Forensik

Agung Leonaras
Program Studi Ilmu Komputer, Universitas Pendidikan Indonesia, Bandung, Indonesia
agungleonaras@gmail.com

ABSTRAK
Dalam satu dekade terakhir, jumlah kejahatan yang melibatkan komputer telah meningkat pesat,
mengakibatkan bertambahnya perusahaan dan produk yang berusaha membantu penegak hukum
dalam menggunakan bukti berbasis komputer untuk menentukan siapa, apa, di mana, kapan, dan
bagaimana dalam sebuah kejahatan. Akibatnya, komputer forensik telah berkembang untuk
memastikan presentasi yang tepat bagi data kejahatan komputer di pengadilan. Teknik dan tool
forensik seringkali dibayangkan dalam kaitannya dengan penyelidikan kriminal dan penanganan
insiden keamanan komputer, digunakan untuk menanggapi sebuah kejadian dengan menyelidiki
sistem

tersangka,

mengumpulkan

dan

memelihara

bukti,

merekonstruksi

kejadian,

dan

memprakirakan status sebuah kejadian. Namun semua itu masih terasa belum efisien mengingat
terpisahnya tool komputer forensik dengan sistem operasi yang digunakan untuk keperluan tersebut.

1. Pendahuluan

karena berdasarkan sifat alaminya, data yang

Teknologi komputer dapat digunakan

sebagai alat bagi para pelaku kejahatan
komputer : seperti pencurian, penggelapan
uang dan lain sebagainya. Barang bukti yang
berasal dari komputer telah muncul dalam
persidangan hampir 30 tahun. Awalnya, hakim
menerima

bukti

tersebut

tanpa

ada

dalam

komputer

sangat

mudah

dimodifikasi. Proses pembuktian bukti tindak

kejahatan tentunya memiliki kriteria-kriteria,
demikian juga dengan proses pembuktian pada
bukti yang didapat dari komputer.
Di awal tahun 1970-an Kongres Amerika
Serikat

mulai

merealisasikan

kelemahan

membedakannya dengan bentuk bukti lainnya.

hukum yang ada dan mencari solusi terbaru

Namun seiring dengan kemajuan teknologi

yang lebih cepat dalam penyelesaian kejahatan

komputer,

komputer. US Federals Rules of Evidence

perlakuan

tersebut

menjadi

membingungkan.
Bukti yang berasal dari komputer sulit
dibedakan antara yang asli ataupun salinannya,

1976
Hukum

menyatakan
lainnya

permasalahan
yang

tersebut.

menyatakan

permasalahan tersebut adalah :

1

Economic

Espionage

Act

1996,

data atau apa yang telah terjadi pada waktu

sebelumnya di suatu sistem.

berhubungan dengan pencurian rahasia

dagang

The Electronic Comunications Privacy

2.2 Kebutuhan Akan Forensik

Act 1986, berkaitan dengan penyadapan

peralatan elektronik.

The Computer Security Act 1987 (Public

Law

100-235),

berkaitan

dengan

keamanan sistem komputer pemerintah

Berikut ini adalah beberapa buah definisi

komputer forensik :

sederhana

penggunaan

mengakibatkan

bertambahnya perusahaan dan produk yang

berusaha membantu penegak hukum dalam

bagaimana

dalam

sebuah

Akibatnya,

komputer

kejahatan.

forensik

telah

berkembang untuk memastikan presentasi

pengadilan. Teknik dan tool forensik seringkali

sekumpulan prosedur untuk melakukan

dibayangkan

pengujian secara menyeluruh suatu sistem

penyelidikan kriminal dan penanganan insiden

komputer dengan menggunakan software

keamanan

dan tool untuk mengambil dan memelihara

menanggapi

barang bukti tindakan kriminal.

menyelidiki sistem tersangka, mengumpulkan

Menurut

Judd

Robin,

seorang

ahli

dan

dalam
komputer,
sebuah

memelihara

kaitannya
digunakan
kejadian

bukti,

dengan
untuk
dengan

merekonstruksi

komputer forensik : Penerapan secara

kejadian, dan memprakirakan status sebuah

sederhana dari penyelidikan komputer dan

kejadian. Namun demikian, tool dan teknik

teknik

forensik juga dapat digunakan untuk tugas-

analisisnya

untuk

menentukan

tugas lainnya, seperti 1 :

New Technologies memperluas definisi

Judd Robin dengan: Komputer forensik
berkaitan

dengan

pemeliharaan,

identifikasi, ekstraksi dan dokumentasi

bukti-bukti

komputer

yang

tersimpan

dalam wujud informasi magnetik.

pesat,

yang tepat bagi data kejahatan komputer di

bukti-bukti hukum yang mungkin.

meningkat

menentukan siapa, apa, di mana, kapan, dan

2.1 Definisi Komputer Forensik

Definisi

kejahatan yang melibatkan komputer telah

menggunakan bukti berbasis komputer untuk

2. Kajian Literatur

Dalam satu dekade terakhir, jumlah

dan

menganalisa

Operational Troubleshooting. Banyak tool

dan teknik forensik dapat digunakan untuk
melakukan troubleshooting atas masalahmasalah operasional, seperti menemukan
lokasi fisik dan virtual sebuah host dengan
konfigurasi jaringan yang tidak tepat,

Menurut Dan Farmer & Wietse Venema :

Memperoleh

mengatasi

masalah

fungsional

dalam

data

dengan cara yang bebas dari distorsi atau

bias sebisa mungkin, untuk merekonstruksi

1 NISTSpecialPublication80086,Guideto
IntegratingForensicTechniquesintoIncident
Response,2006.

sebuah aplikasi.

2.3 Barang Bukti Digital

Log Monitoring. Beragam tool dan teknik

dapat

membantu

dalam

melakukan

monitoring og, seperti menganalisis entri

log dan mengkorelasi entri log dari
beragam sistem. Hal ini dapat membantu
dalam

penanganan

insiden,

Bukti digital adalah informasi yang

didapat
(scientific

Working

format

Group

digital

on

Digital

digital antara lain :

mengidentifikasi pelanggaran kebijakan,

E-mail, alamat e-mail

audit, ddan usaha lainnya.

File wordprocessor/spreadsheet

Data Recovery. Terdapat lusinan tool yang

Source code perangkat lunak

dapat mengembalikan data yang hilang

File berbentuk image(.jpeg, .tip, dan

sebagainya)

dihapus atau dimodifikasi baik yang

Web Browser bookmarks, cookies

disengaja maupun tidak.

Kalender, todo list

Data Acquisition. Beberapa organinasi

menggunakan

tool

forensik

untuk
Bukti

mengambil data dari host yang telah

digital

tidak

dapat

langsung

ketika

dijadikan barang bukti pada proses peradilan,

seorang user meninggalkan organisasi,

karena menurut sifat alamiahnya bukti digital

data dari komputer user tersebut dapat

sangat tidak konsisten. Untuk menjamin

diambil dan disimpan bilamana dibutuhkan

bahwa bukti digital dapat dijadikan barang

di masa mendatang. Media komputer

bukti dalam proses peradilan maka diperlukan

tersebut

sebuah standar data digital yang dapat

dipensiunkan.

bentuk

Evidence, 1999). Beberapa contoh bukti

dari sistem, termasuk data yang telah

dalam

lalu

Sebagai

dapat

contoh,

disanitasi

untuk

menghapus semua data user tersebut.

dijadikan barang bukti dan metode standar

Due Diligence/Regulatory Compliance.

dalam pemrosesan barang bukti sehingga bukti

Regulasi yang ada dan yang akan muncul

mengharuskan

organisasi

informasi

sensitif

beberapa

catatan

dan

melindungi

digital dapat dijamin keasliannya dan dapat

dipertanggung jawabkan.

memelihara

tertentu

demi

Berikut ini adalah aturan standar agar

bukti dapat diterima dalam proses peradilan :

kepentingan audit. Juga, ketika informasi

yang dilindungi terekspos ke pihak lain,
organisasi

mungkin

diharuskan

Dapat diterima, artinya data harus mampu

diterima dan digunakan demi hukum,

untuk

memberitahu pihak atau individu yang

mulai

terkena

sampai dengan kepentingan pengadilan.

membantu
diligence
tersebut.

dampaknya.
organisasi
dan

Forensik
melakukan

mematuhi

dapat
due

persyaratan

Asli,

dari
artinya

kepentingan
bukti

penyelidikan

tersebut

harus

berhubungan dengan kejadian / kasus yang

terjadi dan bukan rekayasa.
3

Lengkap, artinya bukti bisa dikatakan

bagus dan lengkap jika di dalamnya

integritas data tersebut.

terdapat banyak petunjuk yang dapat

membantu investigasi.

Seseorang yang melakukan pengujian

terhadap data digital harus sudah terlatih.

Aktivitas

yang

berhubungan

dengan

Dapat dipercaya, artinya bukti dapat

pengambilan,

mengatakan

atau pentransferan barang bukti digital

hal

yang

terjadi

di

pengujian,

belakangnya. Jika bukti tersebut dapat

harus

dipercaya, maka proses investigasi akan

dilakukan pengujian ulang.

penyimpanan

didokumentasikan

dan

dapat

lebih mudah. Syarat dapat dipercaya ini

merupakan

suatu

keharusan

dalam

penanganan perkara.

Selain itu terdapat pula beberapa panduan

keprofesian yang diterima secara luas :

Untuk itu perlu adanya metode standar

menyeluruh. Pekerjaan menganalisa media

dalam pegambilan data atau bukti digital dan

dan melaporkan temuan tanpa adanya

pemrosesan barang bukti data digital, untuk

prasangka atau asumsi awal.

menjamin keempat syarat di atas terpenuhi.

Sehingga data yang diperoleh dapat dijadikan

Pengujian forensik harus dilakukan secara

Media yang digunakan pada pengujian

forensik

barang bukti yang legal di pengadilan dan

harus

disterilisasi

sebelum

digunakan.

diakui oleh hukum.

3. Metodologi Standar

Image bit dari media asli harus dibuat dan

dipergunakan untuk analisa.

Pada dasarnya tidak ada suatu metodologi

Integritas dari media asli harus dipelihara

selama keseluruhan penyelidikan.

yang sama dalam pengambilan bukti pada data

digital, karena setiap kasus adalah unik
sehingga

memerlukan

penanganan

yang

berbeda. Walaupun demikian dalam memasuki

wilayah hukum formal, tentu saja dibutuhkan
suatu aturan formal yang dapat melegalkan

Dalam kaitan ini terdapat akronim PPAD

pada Komputer forensik :
1.

2.

yang

diambil

untuk

mengamankan dan mengumpulkan barang

untuk

Melindungi

(Protect)

data

untuk

barang bukti.

memperoleh bukti digital:

Tindakan

data

menjamin tidak ada yang mengakses

Justice ada tiga hal yang ditetapkan dalam

(Preserve)

menjamin data tidak berubah.

suatu investigasi.
Untuk itu menurut U.S. Department of

Memelihara

3.

Melakukan

analisis

(Analysis)

data

menggunakan teknik forensik.

bukti digital tidak boleh mempengaruhi

4

4.

Mendokumentasikan
semuanya,

termasuk

(Document)

langkah-langkah

yang dilakukan.

yang aman

yang berlaku di negara yang bersangkutan.

berhubungan

dengan

file

komputer

kemudian oleh instansi yang terkait, tentunya

yang telah ada dan disesuaikan dengan hukum

dokumentasikan tanggal dan waktu

yang

teknis dalam pelaksanaan dapat disusun

dengan mengacu pada metode-metode standar

uji keotentikan data pada semua

perangkat penyimpanan

standar adalah untuk melindungi bukti digital.

Mengenai penentuan kebijakan dan prosedur

buat backup secara bit-by-bit dari

hardisk dan floppy barang bukti asli

Dari berapa uraian di atas sudah sangat

jelas bahwa tujuan pendefinisian metodologi

pindahkan sistem komputer ke lokasi

buat daftar keyword pencarian

evaluasi swap file, evaluasi file slack

evaluasi unallocated space (erased

file)

Dari beberapa metodologi di atas dapat

digarisbawahi bahwa penggunaan bukti asli

dalam investigasi sangat dilarang dan bukti

slack, dan unallocated space

ini harus dijaga agar jangan sampai ada

perubahan di dalamnya karena akan sangat

dokumentasikan

nama

file,

serta

atribut tanggal dan waktu

mempengaruhi kesimpulan yang diambil.

identifikasikan anomali file, program

untuk mengetahui kegunaannya

4. Pembahasan

pencarian keyword pada file, file

dokumentasikan temuan dan software

yang dipergunakan

Barang bukti sangat penting keberadaanya

karena sangat menentukan keputusan di

buat

salinan

software

yang

dipergunakan

pengadilan, untuk itu pemrosesan barang bukti

dalam analisa forensik sangat diperhatikan.
Berikut ini adalah panduan umum dalam

Untuk memastikan bahwa media bukti

pemerosesan barang bukti menurut Lori Willer

digital

tidak

dimodifikasi,

sebelum

ia

dalam bukunya Computer Forensic :

digunakan untuk duplikasi, ia harus diset ke

"Read Only", Locked atau "Write Protect",

shutdown komputer, namun perlu

untuk mencegah terjadinya modifikasi yang

dipertimbangkan hilangnya informasi

tidak disengaja.

proses yang sedang berjalan

dokumentasikan konfigurasi hardware

sistem,

perhatikan

bagaimana

komputer disetup karena mungkin

akan

diperlukan

restore

semula pada tempat yang aman

kondisi

4.1 Komputer

Forensik

Dengan

GNU/Linux
GNU/Linux (selanjutnya akan disebut
Linux saja) adalah sistem operasi yang sudah
siap untuk analisa forensik. Linux dilengkapi
5

dengan berbagai tool untuk membuat file

Sebenarnya tool komputer forensik lainnya

image dan analisa standar yang digunakan

telah banyak tersedia di internet dan tinggal di-

untuk menganalisa bukti yang dicurigai dan

download secara gratis, namun akan terasa

membandingkannya.

sangat riskan apa bila ketika kita akan

Beberapa tools yang sudah tersedia di

linux adalah :

komputer

forensik

mendadak kita harus mendownload terlebih

dahulu tool yang kita butuhkan, atau jika tool
tersebut telah ada akan masih tetap terasa

untuk menyalin file atau perangkat input

kurang efisien jika harus melakukan proses

ke perangkat output atau file secara bit per

installasi tool setiap akan melakukan analisis

bit.

komputer forensik.

cfdisk dan fdisk : dipergunakan untuk

4.2 Sistem

Operasi

yang

Akan

Dikembangkan
Melihat dari uraian di atas, maka perlu

grep : perintah untuk mencari kemunculan

ekspresi dalam file.

dikembangkan

loop device : untuk melakukan mount

komputer yang mampu membantu proses

suatu file image sehingga nantinya dapat

analisis komputer forensik hanya dengan

diakses seperti filesistem.

sebuah sistem operasi yang di dalamnya telah

md5sum dan sha1sum : menghasilkan

terpasang tools untuk kebutuhan analisis

suatu hash MD5 dan SHA1 atas suatu file.

komputer forensik.
Rencana distribusi Linux yang akan

file : membaca informasi header file untuk

memastikan tipenya.

analisis

dd atau variannya : tool yang dipergunakan

menentukan struktur disk.

melakukan

xxd : tool hexdump command line untuk

melihat file dalam mode heksadesimal..

sistem

operasi

dikembangkan adalah Slax atau Ubuntu yang

bersifat live.
Daftar tools yang akan disertakan dalam
sistem operasi tersebut adalah:

Tool di atas membuktikan bahwa Linux

Antiword, merupakan sebuah aplikasi

yang digunakan untuk menampilkan teks

merupakan sistem operasi yang sudah siap

dan gambar dokumen Microsoft Word.

digunakan dalam bidang komputer forensik.

Antiword hanya mendukung dokumen

yang dibuat oleh MS Word versi 2 dan

Namun demikian, tool standar tersebut

versi 6 atau yang lebih baru.

hanya dapat melakukan tugas-tugasnya sesuai

dengan namanya, yaitu standar. Untuk

sebuah

Autopsy, merupakan antarmuka grafis

proses analisis komputer forensik yang lebih

untuk tool analisis investigasi diginal

detail atau kasus yang lebih rumit diperlukan

perintah baris The Sleuth Kit. Bersama,

tool-tool lain sesuai dengan apa yang kita

mereka dapat menganalisis disk dan

butuhkan.

filesistem Windows dan UNIX (NTFS,

FAT, UFS1/2, Ext2/3).
6

Binhash,

merupakan

sebuah

program

realtime untuk sesi telnet, rlogin, IRC, X11

melakukan

hashing

atau VNC; dan membuat laporan seperti

terhadap berbagai bagian file ELF dan PE

laporan image dan laporan isi HTTP

untuk perbandingan. Saat ini ia melakukan

GET/POST.

hash terhadap segmen header dan bagian

Chaosreader dapat juga berjalan dalam

header segmen obyek ELF dan bagian

mode standalone, yaitu ia memanggil

segmen header obyek PE. Hash yang

tcpdump (jika tersedia) untuk membuat

tersedia adalah hash yang disertakan

file log dan memproses mereka.

sederhana

untuk

bersama

librari

(md2/md4/md5/sha1).
ketika

Ia

membandingkan

bermanfaat

memeriksa tanda-tanda adanya rootkit

secara lokal. Ia akan memeriksa utilitas

malware. Bagian mana yang cocok dan

utama apakah terinfeksi, dan saat ini

bagian mana yang tidak cocok.

memeriksa

Clam AntiVirus, merupakan sebuah toolkit

variasinya.

untuk

UNIX,

dua

Chkrootkit, merupakan sebuah tool untuk

varian

antivirus

OpenSSL

ia

mulanya

60

rootkit

dan

dcfldd, merupakan versi perbaikan GNU

dirancang untuk memeriksa email pada

dd dengan fitur yang bermanfaat untuk

gateway email. Namun saat ini ia telah

forensik dan keamanan. dcfldd memiliki

menyertakan

fitur-fitur

kemampuan

untuk

tambahan

memeriksa virus pada workstation.

dibandingkan dd :

Sigtool, merupakan tool untuk manajemen

berikut

bila

Hashing on-the-fly - dcfldd dapat

signature dan database ClamAV. sigtool

menghasilkan hash data input saat

dapat

mentransfernya,

digunakan

untuk

menghasilkan

format heksadesimal, menampilkan daftar

signature

virus

untuk

memastikan

integritas data.

checksum MD5, konversi data ke dalam

sekitar

Menginformasikan status - dcfldd

dapat memberitahukan user mengenai

dan

build/unpack/test/verify database CVD dan

perkembangan

skrip update.

ditransfer dan berapa lama lagi proses

ChaosReader

merupakan

sebuah

yang

telah

berlangsung.

tool

freeware untuk melacak sesi TCP/UDP/...

data

Menghapus disk secara fleksibel -

dan mengambil data aplikasi dari log

dcfldd

tcpdump. Ia akan mengambil sesi telnet,

menghapus disk secara cepat dengan

file FTP, transfer HTTP (HTML, GIF,

pola tertentu bila diinginkan.

JPEG,...), email SMTP, dan sebagainya,

dapat

digunakan

untuk

Verifikasi Image/hapus - dcfldd dapat

dari data yang ditangkap oleh log lalu

memverifikasi bahwa drive sasaran

lintas jaringan. Sebuah file index html

cocok escara bit demi bit dari file

akan tercipta yang berisikan link ke

input atau pola yang ditentukan.

seluruh detil sesi, termasuk program replay

Multi

output

dcfldd

dapat
7

mengeluarkan ke berbagai file atau

disk pada saat bersamaan.
-

Membagi

output

dcfldd

baris yang berguna untuk memanipulasi

membagi output ke beragam file

bagian bukan gambar dalam header Exif

dengan lebih mudah dibandingkan

(Exchange Information) yang digunakan

dengan perintah split.

oleh kebanyakan kamera digital.

Mem-piped output dan log - dcfldd

lshw (Hardware Lister) merupakan sebuah

dapat mengirim seluruh log data dan

tool kecil yang memberikan informasi detil

output ke perintah serta file dengan

mengenai konfigurasi hardware dalam

alami.

mesin. Ia dapat melaporkan konfigurasi

GNU ddrescue, merupakan sebuah tool

memori dengan tepat, versi firmware,

penyelamat data. Ia menyalinkan data dari

konfigurasi

satu file atau device blok (hard disc,

kecepatan

cdrom, dsb.) ke yang lain, berusaha keras

kecepatan bus, dsb. pada sistem DMI-

menyelamatkan data dalam hal kegagalan

capable x86 atau sistem EFI (IA-64) dan

pembacaan.

pada beberapa mesin PowerPC. Informasi

Foremost merupakan sebuah tool yang

dapat dihasilkan dalam bentuk teks biasa,

dapat digunakan untuk me-recover file

XML, atau HTML.

data

file

tersebut.

Ia

mainboard,
CPU,

mac-robber

versi

konfigurasi

merupakan

sebuah

dan
cache,

tool

mulanya

Forensics & Incident Response yang

dikembangkan oleh Jesse Kornblum dan

digunakan untuk mengumpulkan waktu

Kris Kendall dari the United States Air

Modified, Access, dan Change (MAC) dari

Force Office of Special Investigations and

file yang dialokasikan. Ia secara rekursif

The Center for Information Systems

membaca waktu MAC file dan direktori

Security Studies and Research. Saat ini

dan mencetaknya dalam format mesin

foremost dipelihara oleh Nick Mikus

waktu ke output standar. Format ini sama

seorang Peneliti di the Naval Postgraduate

dengan yang dibaca oleh tool mactime dari

School Center for Information Systems

TSK dan TCT.

Security Studies and Research.

Magic Rescue membuka device untuk

Gqview merupakan sebuah program untuk

dibaca, memeriksanya untuk tipe file yang

melihat

Ia

dikenal dan memanggil program eksternal

gambar,

untuk mengekstraksi mereka. Ia melihat

gambar

mendukung
zooming,

jhead merupakan sebuah program perintah

dapat

berdasarkan header, footer, atau struktur

Explorer.

berbasis

beragam
panning,

GTK.

format

thumbnails,

dan

pada ``magic bytes'' dalam isi file,

pengurutan gambar.

sehingga ia dapat digunakan sebagai

Galleta merupakan sebuah tool yang

utilitas undelete dan untuk mengembalikan

ditulis oleh Keith J Jones untuk melakukan

drive atau partisi yang rusak. Ia bekerja

analisis forensik terhadap cookie Internet

pada sembarang filesistem, namun pada

8

filesistem yang sangat terfragmentasi ia

analisi harus didokumentasikan dengan

hanya

baik dan dapat digunakan berulang-ulang,

dapat

mengembalikan

bagian

pertama untuk setiap file. Namun demikian

dan

bagian ini seringkali sebesar 50MB.

kesalahan yang dapat diterima. Saat ini

md5deep

adalah

sebuah

tool

source yang dapat diandalkan oleh analis

file. md5deep serupa dengan md5sum

forensik

namun ia dapat memproses direktori

ditemukan

secara rekursif, menghasilkan prakiraan

Microsoft.

untuk

menguji

dalam

data

file

yang

proprietary

rkhunter merupakan sebuah tool untuk

known hash set, dan dapat diset hany untuk

memeriksa

memproses tipe file tertentu saja.

eksploitasi

Memdump adalah program yang dibuat

beberapa uji sebagai berikut :

untuk men-dump memori sistem ke stream

membandingkan hasil hash MD5

output standar, melewati beberapa lubang

memeriksa file baku yang digunakan

peta

memori.

Secara

default,

rootkit,
lokal

backdoor,

dengan

dan

menjalankan

oleh rootkit

program akan mendump isi memori fisik

permisi file yang salah untuk file biner

(/dev/mem). Outputnya dalam bentuk

memeriksa string yang dicurigai dalam

modul LKM dan KLD

-m untuk menyimpan informasi layout

memeriksa file-file tersembunyi

memori.

pemeriksaan opsional dalam file teks

ophcrack merupakan sebuah password

cracker Windows berbasiskan trade-off

margin

platform yang menghitung signature MD5

dump raw, bila diperlukan gunakan opsi

memiliki

terdapat kekurangan metode dan tool open

dalam

harus

lintas

waktu selesai, membandingkan file ke

mereka

dan biner

Scalpel adalah sebuah tool forensik yang

waktu-memori yang lebih cepat dengan

dirancang

menggunakan tabel rainbow.

mengisolasi dan merecover data dari

PhotoRec merupakan software recovery

media komputer selama proses investigasi

data

untuk

forensik. Scalpel mencari hard drive, bit-

memulihkan file hilang termasuk video,

stream image, unallocated space file, atau

dokumen dan arsip dari Hard Disk dan

sembarang

CDROM dan gambar yang hilang dari

karakteristik, isi atau atribut tertentu, dan

memori kamera digital.

menghasilkan laporan mengenai lokasi dan

Rifiuti, banyak file penting dalam sistem

isi artifak yang ditemukan selama proses

operasi

pencarian

file

yang

Microsoft

dirancang

Windows

memiliki

untuk

file

mengidentifikasikan,

komputer

elektronik.

Scalpel

juga

artifak

yang

struktur yang tidak didokumentasikan.

menghasilkan

Salah

ditemukan sebagai file individual.

satu

komputer

prinsip

adalah

utama

seluruh

forensik

metodologi

sha1deep

(carves)

adalah

untuk

sebuah

tool

lintas
9

platform yang menghitung signature SHA1

merupakan sebuah skrip Python perintah

file. sha1deep serupa dengan sha1sum

baris yang bekerja di platform Linux, Mac

namun ia dapat memproses direktori

OS X dan Cygwin(win32).

secara rekursif, menghasilkan prakiraan

waktu selesai, membandingkan file ke
known hash set, dan dapat diset hany untuk

5. Studi Kasus (Forensik Digital Pasca

Kasus Deface)

memproses tipe file tertentu saja.

sha256deep adalah sebuah tool lintas

platform

yang

SHA256-bit
memproses

menghitung

signature

file. sha256deep dapat

direktori

secara

rekursif,

menghasilkan prakiraan waktu selesai,

membandingkan file ke known hash set,
dan dapat diset hany untuk memproses tipe
file tertentu saja.

Stegdetect

merupakan

sebuah

tool

otomatis untuk mendeteksi isi steganografi

dalam gambar. Ia mampu mendeteksi
beberapa metode steganografi berbeda
untuk

menyembunyikan

informasi

tersembunyi dalam gambar JPEG.

tcpreplay merupakan sebuah tool yang

digunakan untuk mereplay lalu lintas
jaringan dari file yang disimpan dengan
tcpdump atau tool lainnya yang menulis
file pcap.

Situs KPU, Kominfo dan Golkar jadi

korbannya. Apa yang bisa dilakukan saat situs
kena susup?
Banyak admin panik langsung mematikan
sistem dan menghapus kesalahan sehingga
sistem bisa up kembali. Saran saya, jangan.
Tetapi sebaiknya lakukan langkah yang tepat
untuk

menyimpan

bukti

dengan

cara

menyimpan kondisi memori, kondisi file

temporar, kondisi soket terbuka dan lain
sebagainya. Pada dunia komputer forensik ini
yang dikenal membuat snapshot dari sistem
yang sedang berjalan. Setelah itu baru
memeriksa sistem yang ada (analisis post
mortem). Teknik mesin virtual saat ini
memungkinkan kita menjalankan image
sistem dengan snapshoot berjalan seperti
kondisi tersebut.

TestDisk merupakan software recovery

Untuk memeriksa sistem yang ada, maka

yang powerful. Ia mulanya dirancang

hard disk asli tidak boleh dikutak-katik untuk

untuk membantu mengembalikan partisi

itu perlu dibuat image dan image inilah yang

hilang dan/atau membuat disk non-booting

bisa diselidiki. Untuk melakukan hal itu

menjadi bootable lagi ketika efek ini

berbagai tool tersedia dari tool komersial

diakibatkan oleh software yang rusak,

seperti Encase[1], Forensic Tool Kit (FTK)

beberapa tipe virus tertentu atau kesalahan

[2], XWays [3], bisa juga dengan tool Open

manusia.

Source dd yang relatif ada di tiap sistem

Vinetto merupakan sebuah tool forensik

Unix/Linux,

untuk memeriksa file Thumbs.db. Ia

aplikasi Open Source dapat dengan mudah

atau

dd_rescue

[4].

Untuk

10

menggunakan

distribution

untuk

forensik

misal Helix [5].

situs pemerintah, telah menerapkan kaidahkaidah audit trail dengan baik.

Setelah image disimpan baru lakukan

Tentu saja untuk tujuan forensik itu, maka

proses analisis forensik standard. Dalam

pertimbangan disain sistem akan mulai dari

melakukan proses forensik ada kaidah utama

file system manakah yang paling mudah untuk

yang diterapkan yaitu Chain of custody

dilakukan forensik (menyimpan timestamp,

artinya setiap langkah yang dilakukan, siapa,

dan metadata paling lengkap). Juga perlu

bagaimana dan hasilnya harus tercatat rapih.

dipertimbangkan file system manakah yang

Perangkat bantu atau metoda yang digunakan

spesifikasinya

juga biasanya harus memenuhi kaidah Daubert

memudahkan proses penggunaan perangkat

(sebelumya yang diterapkan adalah kaidah

bantu. Seperti yang diungkapkan salah satu

Frey). Pada kaidah Daubert metoda dan

ahli forensik Jerman, Alexander Geschonneck

perangkat bantu yang diterapkan telah melalui

[6] di CeBIT 2008, untuk file system

peer-review secara ilmiah. Oleh karena itu

proprietary seperti NTFS, ketika seorang harus

sekarang pada beberapa negara, perangkat

melakukan analisis forensik sering harus

bantu proprietary agar dapat digunakan untuk

diterapkan

pekerjaan forensik harus melalui auditing dan

berdasarkan reverse engineering. Di CeBIT

pengujian terbuka terlebih dahulu. Beberapa

2008, di pertemuan forensik yang banyak

polisi di negara maju lebih mengandalkan

dihadiri polisi dan praktisi forensik dari

perangkat bantu open source untuk melakukan

berbagai perusahaan sekuriti., ahli tersebut

proses image ini.

menyatakan

terbuka,

karena

teknik-teknik

kerumitannya

ini

yang

untuk

akan

relatif

proses

forensik file system NTFS yang digunakan di

5.1. Audit Jejak

Windows VISTA.

Berkaitan dengan analisis forensik setelah

kejadian

(incident),

maka

akan

dapat

Begitu juga untuk sistem operasi, sistem

operasi

manakah

yang

dapat

dipasang

dilakukan lebih mudah dan lebih detil lagi, bila

perangkat lunak instrumentasi sehingga

sistem yang dibangun juga telah memiliki

setiap proses, penggunaan resource dapat

pertimbangan seperti itu. Dengan kata lain

tercatat dengan ditail. Trend terbaru saat ini

audit jejak (trail), benar-benar diterapkan.

adala dengan cara memasang sistem di atas

Sayangnya

yang

Hypervisor Monitoring (seperti Xen) sehingga

dikembangkan untuk kepentingan pemerintah

apa yang terjadi di atas sistem tersebut akan

memenuhi kriteria tersebut. Sebagian sistem

tercatat dengan baik di log. Instrumentasi ini

dikembangkan dengan asumsi sistem tidak

juga perlu dilakukan untuk setiap komponen

pernah ada masalah. Saya kurang tahu apakah

(akses ke web server, akses ke database server,

sistem

akses ke shell, dan sebagainya). Dengan log

tidak

seperti

banyak

sistem

e-Procurement,

Certificate

Authority yang saat ini sudah diterapkan di

11

yang

baik

maka

proses

analisis

akan

dimudahkan.

kereta, dan lain sebagainya).

Tentu saja log-log ini perlu dikelola

dengan baik dan tidak disimpan di 1 tempat.
Sehingga perlu dibangun log aggregator server
yang menyimpan log-log ini. Untuk kevalidan
penyimpanan log, maka perlu dilakukan 2
metoda,

analisis kecelakaan transportasi (pesawat,

penyimpanan

real

time

dan

penyimpanan secara regular. Di samping itu

proses tanda tangan digital perlu dilakukan
agar log ini sah sebaca bukti hukum. Kedua

6. Kesimpulan dan Saran

Dalam hal ini penulis memiliki sebuah
pemecahan masalah dari ketidak efektifan dan
ketidak efisien dalam pelaksanaan analisis
komputer forensik, yaitu dengan membuat
sebuah sistem operasi yang bersifat live
dengan telah terinstallnya tool-tool komputer
forensik di dalamnya.

jenis log (real time berbentuk stream) dan

regular (berbentuk file), membutuhkan proses
tanda tangan digital yang berbeda.
Daftar Pustaka

5.2. Analisa
Jadi mendisain sistem tentu saja bukan
dengan asumsi, bila semuanya bekerja secara
normal, tetapi juga ketika sistem berjalan tidak
normal

atau

mengalami

serangan.

Bagi

pembaca yang ingin mengetahui tahapantahapan

digital

forensik,

bisa

membaca

beberapa tulisan kelompok kerja di bawah

arahan Dr A. B. Mutiara dari Univ Gunadarma
[7],

yang

telah

menyediakan

beberapa

guideline komputer forensik dalam bahasa

Indonesia dan beberapa kertas kerja dalam
bidang komputer forensik. Juga bisa dibaca di
blog Hendro Wicaksono [8]
Langkah berikut setelah mengumpulkan
factual

information

interpretasi

informasi.

adalah

melakukan

Beberapa

metoda

formal dapat diterapkan dari memanfaatkan

petri-net, ataupun dengan Why Because
Analysis [9] dari Prof. Peter B Ladkin PhD,
yang telah banyak digunakan untuk melakukan

[1] http:// www.guidancesoftware.com/

[2] http:// www.accessdata.com/
[3] http:// www.x-ways.net
[4] http://www.garloff.de/kurt/linux/
ddrescue/
[5] http:// www.e-fense.com/helix/
[6] http:// www.computer-forensik.org
[7] http://nustaffsite.gunadarma.ac.id/
blog/amutiara/
[8] http:// hendrowicaksono.multiply.com/
blog
[9] http:// www.rvs.uni-bielefeld.de
(Netsains.com)
[10] Informaiton

Security

and

Forensics

Society. Computer Forensics, Part 1: An

Introduction to Computer Forensics.
Available at :http://www.isfs.org.hk. April
2004.
12

[11] Brian Carrier. Defining Digital Forensics

Examination and Analysis Tools. In
Digital Research Workshop II, 2002.

Available at : One Day Seminar On

Security Solution, 7 April 2008.
[13] Ir.
Yusuf
Kurniawan,

MT.

KRIPTOGRAFI Keamanan Internet dan

Available at :

Jaringan Komunikasi, INFORMATIKA,

http://www.dfrws.org/dfrws2002/papers/P
apers/Brian_carrier.pdf
[12] Budi Rahardjo. Investigating Network
Intrusion

and

Computer

Forensic.

Bandung, 2004.
[14] Chris Brenton, Cameron Hunt. Network
Security. PT Elex Media Komputindo,
Jakarta, 2005.

13