Disk forensik

1. DISK FORENSIKKelompok 2 ? Deby Oktavia (55409571) ? Fuad Hatami (50409063) ?

Kiki Tri Ratnasari (51409311) ? Lili Andini (55409680) ? Linda Mella Listiara
(55409579)4IA03
2. DISK FORENSIK Komputer forensik dapat diartikan sebagai pengumpulan dan analisis
data dari berbagaisumber daya komputer yang mencakup sistem komputer, jaringan
komputer, jalur komunikasi,dan berbagai media penyimpanan yang layak untuk diajukan
dalam sidang pengadilan.Komputer forensik merupakan ilmu baru yang akan terus
berkembang. Ilmu ini didasari olehbeberapa bidang keilmuan lainnya yang sudah ada.
Bahkan, komputer forensik pun dapatdispesifikasi lagi menjadi beberapa bagian,
seperti Disk Forensik, System Forensik, NetworkForensik, dan Internet Forensik.
Pengetahuan Disk Forensik sudah terdokumentasi dengan baik dibandingkan
denganbidang forensik lainnya. Beberapa kasus yang dapat dilakukan dengan bantuan
ilmu DiskForensik antara lain mengembalikan file yang terhapus, mendapatkan
password, mengubahpartisi harddisk, mencari jejak badsector, menganalisis File
Akses dan System atau AplikasiLogs, dan sebagainya. Tentunya untuk mendapatkan
semua informasi tersebut, diperlukan sejumlah software,seperti EnCase, yang
dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernahdigunakan oleh
FBI (Federal Bureau Investigation) dalam kasus Zacarias Moussaoui,
danJaguarForensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa
feature menarik,seperti generator report untuk memenuhi kebutuhan komputer
forensik.Disk forensik mencakup kemampuan dalam: Mendapatkan �bit-stream� image.
Hal ini mencakup slack, unallocated space dan file fragments yang dihapus Penyidik
harus mampu mendemonstrasikan pelaksanaan investigasi dengan aturan dan bukti yang
layak Integritas informasi harus disajikan sedemikian rupa sehingga terbukti
keabsahannya, ini identik dengan sidik jari digital.Beberapa hal yang bisa
dilakukan dengan adanya disk forensik: Me-recover file-file yang terhapus,
mendapatkan password dan kunci cryptographic Menganalisa akses file, perihal
memodifikasi dan menciptakan file
3. Menganalisa dan memanfaatkan system logs dan log software aplikasi (misalnya:
monitoring akses file di jaringan atau penggunaan software aplikas dan utility).
Dengan demikian aktivitas pengguna dapat dilacak Mengenal Metadata pada Dokumen
Menangani dokumen forensik akan berurusan dengan dokumen. Yang dimaksud dengan
metadata adalah data tentang data. Sebuah dokumen yangdihasilkan dari software
metadata dalam pengolah kata, umumnya mempunyai metadataseperti author (pembuat
dokumen), organizations, revisions, previous authors (daftar nama yangtelah
melakukan akses terhadap dokumen tersebut), template (jenis template yang
digunakandokumen), computer name, harddisk (menunjukkan lokasi dari file tersebut),
networkserver (sebagai informasi perluasan dari harddisk), time, time stamps
(bergantung dari sistemoperasi, dan umumnya mencakup tanggal pembuatan, tanggal
akses atau kapan file terakhir kalidibuka tapi tidak dilakukan perubahan, dan
tanggal modifikasi, yaitu ketika ada perubahan didalam file), dan printed (kapan
dokumen terakhir kali dicetak). Beberapa metadata pada dokumen dapat dilihat secara
langsung, namun beberapametadata harus diekstrak untuk dapat melihatnya. Sebagai
contoh untuk menampilkan metadatapada dokumen Ms.Word secara langsung dapat
dilakukan melalui menu properties. Untukmelakukan ekstrak data dengan lebih detail
dibutuhkan alat bantu seperti Metadata Analyer(www.smartpctools.com) atau iScrub
(www.esqinc.com). Alat bantu semacam ini dapatmenampilkan informasi metadata yang
tidak tampak.1. File Carving Seperti dijelaskan sebelumnya, adalah mungkin
merecovery file dari file system yanginformasi partisinya sudah rusak atau
volumenya sebagian telah di reformat. Ini dapat dilakukanmelalui tehnik bernama
data carving atau file carving, di mana sebuah program mencari sejenisfile tertentu
dengan mencari pola jenis file tertentu Satu hal menarik dari teknik ini adalah
iaberjalan serba otomatis: kita hanya menunjukan partisi atau tempat partisi
berada, kemudianmemilih tempat untuk merstore file, dan memungkinkan program
melakukan tugas beratnya. Pencipta TestDisk telah menciptakan tool istimewa file
carving bernama PhotoRec, yangmerecovery format file umum dibanyak media. Setting
default PhotoRec bekerja baik, namun
4. kamu jika membutuhkan control, ada sejumlah opsi yang dapat diset Paranoid Mode,
normaldisabled, merecover segala sesuatu termasuk pecahan file korup � jika
mengaktifkannya. Anda akan mendapat lebih banyak data yang dapat di recovery,
tetapi proses recoverylebih lama. Kemudian juga bisa memilih, Keep corrupted files
akan merecovery file yang tidaksepenuhnya terbaca dengan harapan user dapat
menyelamatkan sebagian di lain hari, mungkindengan hex editor atau tool lain. Perlu
di ingat pula, file yang di recovery dengan PhotoRec tidakmempunyai nama seperti
nama file aslinya, tetapi metadata internal (misalnya MP3 tag atau dataEXIF) masih
ada. Perlu dicatat pula jika mencari jenis file spesifik dalam file system
relatifkecil, dapat menggunakan opsi internal yang ada di program untuk
menyempitkan pencarian dantidak membuang waktu recovery. TestDisk dan PhotoRec
keduanya disertakan secara default diPartedmagic, karenanya ini care termudah
mendapatkan keduanya dan membuat bekerjalangsung � namun dapat pula mendownload
keduanya sebagai program terpisah danmenggunakannya seperti biasa. Keduanya juga di
integrasikan ke BartPE; kamu juga bisamemount mereka di removable drive, booting
Vista installation DVD (jika memilikinya), masukke System Recovery command Line,
dan jalankan program dari sana.2. Aplikasi Lanjutan DataCarving TestDisk dan
PhotoRec hanya pucuk dari gunung es, namun program-program canggihbiasanya
diperuntukan tugas forensik lengkap dan tidak untuk pemakai biasa.
Foremosttampaknya merupakan nenek moyang dari semua program data carving yang
aslinyadikembangkan di Kantor Investigasi Khusus Angkatan Udara Amerika Serikat.
Sekarangprogram ini dirilis menjadi public domain, sehingga dapat dipakai di
manapun dan dipakai ulangoleh program lain. Tapi harap di ingat format binary masih
belum ada untuk Foremost; kamuharus mengompilasi program dari source agar bekerja.
Beberapa distro Linux (seperti UbuntuFeisty) sudah menyiapkan Foremost versi
precompiled di repository software, yang menjadikanprogram ini mudah di unduh dan
digunakan. Pilihan lainnya adalah Scapel, hasil penulisan ulangForemost versi 0.69
� ia lebih gegas, pemakaian memory lebih banyak, dan mempunyai fungsibermanfaat
lainnya untuk merecovery file lebih canggih. Ia juga belum tersedia dalam
bentukbinary dan harus dikompilasi dari sourec.
5. Salah satu koleksi tool powerful yang dapat berjalan di beragam platform (UNIX,
BSD,dan Windows menggunakan Library CYGWIN) adalah Sleuth Kit. Seperti halnya
Foremost danScalpel, ia dapat mencari file terhapus berdasar hash atau signature,
namun ia juga dibekalibanyak fungsi lain. TSK dibekali sejumlah command line tool,
yang dapat digunakan bila kamumerasa nyaman atau mendownload graphical interface
bernama Autopsy. Utiliti lainnya adalahutility yang ada di PartitionSupport.com
Penggunaan komputer yang tersebar luas dan alat digital lain telah
mengakibatkanpeningkatan banyaknya jenis media berbeda yang digunakan untuk
menyimpan file. Sebagaitambahan terhadap jenis media yang biasa digunakan seperti
disket dan hard drives, file jugadisimpan pada alat seperti PDA dan telepon
selular, serta jenis media yang lebih baru, sepertiflash card yang dipopulerkan
dengan adanya kamera digital label berikut mendaftarkan jenismedia yang digunakan
pada komputer dan alat digital. Daftar ini tidak meliputi setiap jenismedia yang
tersedia; melainkan untuk menunjukkan variasi jenis media yang perlu
diketahuiseorang analis.
6. 3. File System File System adalah metode untuk menyimpan dan mengatur file-file
dan data yangtersimpan di dalamnya untuk membuatnya mudah ditemukan dan diakses.
File System dapatmenggunakan media penyimpan data seperti HardDisk atau CD Rom.
File System juga dapatmelibatkan perawatan lokasi fisik file, juga memberikan akses
ke data pada file server denganberlaku sebagai klien untuk protokol jaringan (mis.
NFS atau SMB klien), atau dapat jugaberlaku sebagai file system virtual dan hanya
ada sebagai metode akses untuk data virtual. Lebihumum lagi, file system merupakan
database khusus untuk penyimpanan, pengelolaan, manipulasidan pengambilan data.
7. 3.1 Aspek-aspek File System Kebanyakan file System menggunakan media penyimpan
mendasar yang menawarkanakses ke suatu array dengan blok ukuran tertentu yang
dinamakan sector, umumnya denganukuran pangkat 2 (512 bytes atau 1,2, atau 4 KiB).
Software File System bertugas menata sektor-sektor tersebut menjadi file dan
direktori, serta mengatur sektor mana milik file mana dan sektormana yang belum
terpakai. Kebanyakan file system mengalamatkan data dalam unit denganukuran
tertentu yang disebut cluster atau blok yang mengandung sejumlah disk sector
(biasanyaantara 1-64). Cluster atau blok ini adalah space disk terkecil yang dapat
dialokasikan untukmenyimpan file. Bagaimanapun, file system bisa jadi tidak perlu
menggunakan media penyimpan samasekali. File System dapat dipakai untuk menata dan
mewakili akses ke setiap data, apakah dataitu disimpan atau dibuat secara
dinamis.3.1.1 Nama File Tidak peduli apakah file System memiliki media penyimpan
atau tidak, file systemumumnya memiliki direktori yang menyesuaikan antara nama
file dan file, biasanya denganmenghubungkan nama file dan suatu index dalam
file.3.1.2 Metadata Informasi lain yang disimpan biasanya berhubungan dengan tiap
file yang ada dalam filesystem. Panjang data yang dikandung dalam sebuah file dapat
disimpan sebagai nomor blokyang disediakan untuk file atau sebagai hitungan byte.
Waktu di mana file terakhir kalidimodifikasi dapat disimpan sebagai timestamp dari
file. Beberapa file system juga menyimpanwaktu pembuatan file, waktu terakhir kali
diakses, dan waktu di mana meta data dari file diubah.Informasi lain termasuk juga
tipe media file (blok, karakter, soket, subdirektori), User-IDpemilik dan Group-ID,
serta setting access permission-nya (read only, executeble, dll). Atribut sebarang
dapat dilekatkan pada file system tingkat lanjut, seperti XFS, ext2/ext3,beberapa
versi UFS dan HFS+ menggunakan atribut file diperluas. Fitur ini diterapkan
padakernel Linux, FreeBSD dan MacOS X, serta membolehkan metadata untuk dihubungkan
dengan
8. file pada level file system. Misalnya info tentang pembuat dokumen, pengkodean
karakter daridokumen plain-text, atau checksum.3.1.3 File system hirarkis File
System hirarkis merupakan minat riset awal dari Dennis Ritchie.
Implementasisebelumnya terbatas pada beberapa level, terutama IBM, bahkan pada
database awal merekaseperti IMS. Setelah suksesnya Unix, Ritchie memperluas konsep
file system ini ke dalam setiapobjek dalam pengembangan Sistem Operasi berikutnya
yang dikembangkannya, seperti Plan 9dan Inferno.3.1.4 Fasilitas File System
tradisional menawarkan fasilitas untuk membuat, memindah dan menghapusfile dan
direktrori. File System tradisional masih kekurangan fasilitas untuk membuat
linktambahan ke direktrori, merubah link parent, dan membuat link bidireksional ke
file. File system tradisional juga menawarkan fasilitas untuk memotong, menambah
catatan,membuat, memindah, menghapus dan modifikasi file di tempat. Mereka tidak
menawarkanfasilitas untuk menambah di awal atau untuk meghapus dari bagian awal
file, membiarkanpenyisipan tunggal sembarang ke file atau penghapusan dari file.
Operasi yang disediakan sangatasimetris dan kekurangan manfaat dalam konteks yang
tidak diharapkan. Misalnya, pipeinterproses dalam Unix harus dilakukan di luar file
system karena konspe pipe tidak menawarkanpemotongan dari awal file.3.1.5 Keamanan
akses Akses aman ke dalam operasi file system dasar dapat didasarkan pada skema
AccessControl List atau Capability. Hasil riset menunjukkan bahwa ACL sulit
mengamankan secarapatut. File System komersial masih menggunakan Access Control
List.3.2 Tipe-tipe File System Tipe-tipe File System dapat diklasifikaskan ke dalam
disk file system, file systemjaringan dan file system untuk tujuan khusus.
9. 3.2.1 File system Disk Sebuah file system disk adalah file system yang didesain
untuk menyimpan data padasebuah media penyimpan data, umumnya disk drive baik yang
langsung atau tidak langsungterhubung ke komputer. Contoh File System Disk misalnya
FAT (FAT 12, FAT 16, FAT 320),NTFS, HFS, HFS+, ext2, ext3, ISO 9660, ODS-5 dan UDF.
Beberapa File System Disk adayang termasuk file system journaling atau file system
versioning.3.2.2 File System Flash Sebuah file system Flash adalah file system yang
didesain untuk menyimpan data padamedia flash memory. Hal ini menjadi lazim ketika
jumlah perangkat mobile semakin banyak dankapasitas memory flash yang semakin
besar. Block device layer dapat mensimulasikan sebuah disk drive agar file system
disk dapatdigunakan pada flash memory, tapi hal ini kurang optimal untuk beberapa
alasan. Menghapusblok. Blok Flash memory harus dihapus sebelum dapat ditulis. Waktu
yang dibutuhkan untukmenghapus sebuah blok bisa jadi signifikan, dan hal ini juga
bermanfaat untuk menghapus blokyang tidak dipakai saat media dalam keadaan idle.
Random Access. file system Diskditingkatkan untuk mencegah pencarian disk, Flash
memory tidak membebankan prosespencarian sama sekali . Level pemakaian: media
memori flash cenderung mudah rusak ketikasatu blok tunggal di-overwrite secara
berulang; file system flash didesian untuk me-write secaramerata3.2.3 File System
Database Konsep baru untuk manajemen file adalah konsep file system berbasis
database. Sebagaiperbaikan bagi Manajemen terstruktur hirarkis, file diidentifikasi
oleh karakteristiknya, sepertitipe file, topik, pembuat atau metadata yang
sama.3.2.4 File System Transaksional Setiap operasi disk dapat melibatkan perubahan
ke sejumlah file dan struktur disk yangberbeda. Dalam banyak kasus, perubahan ini
berhubungan. Hali in iberarti bahwa operasi inidieksekusi pada waktu yang sama.
Ambil contoh ketika sebuah Bank mengirimkan uang ke Banklain secara elektronik.
Komputer Bank akan �mengirim? perintah transfer ke Bank lain danmeng-update record-
nya untuk menunjukkan bahwa telah terjadi transaksi. Jika untuk beberapa
10. alasan terjadi crash antar komputer sebelum komputer berhasil mengupdate
record-nya sendiri,maka tidak akan ada tidak akan ada record transfer tapi Bank
akan kehilangan uangnya. Pemrosesan transaksi memperkenalkan jaminan bahwa pada
tiap point ketika transaksiberlangsung, sebuah transaksi dapat disudahi secara
tuntas atau diulang sepenuhnya. Hal iniberarti jika terjadi crash atau kegagalan
power, setelah recovery, kondisi yang disimpan akantetap. File System journaling
adalah salah satu teknik yang digunakan untuk mengenalkankonsistensi level-
transaksi ke dalam struktur file system.3.2.5 File System Jaringan File System
Network adalah file system yang bertindak sebagai klien untuk protokolakses file
jarak jauh, memberikan akses ke file pada sebuah server. Contoh dari File
systemnetwork ini adalah klien protokol NFS, AFS, SMB, dan klien FTP dan
WebDAV.3.2.6 File System untuk Tujuan khusus File System untuk tujuan khusus adalah
file system yang tidak termasuk disk file systematau file system Jaringan. Termasuk
dalam kategori ini adalah sistem di mana file ditata secaradinamis oleh software,
ditujukan untuk tujuan tertentu seperti untuk komunikasi antar proseskomputer atau
space file sementara. File system untuk tujuan khusus sangat banyak dipakai oleh OS
yang berpusat pada fileseperti UNIX. Contoh file system ini adalah file system
procfs (/proc) yang dipakai olehbeberapa varian Unix, yang memberikan akses ke
informasi mengenai proses dan fitur-fitur dariOS.3.2.7 File System Journaling File
system journaling adalah file system yang mencatat perubahan ke dalam
jurnal(biasanya berupa log sirkuolar dalam area tertentu) sebelum melakukan
perubahan ke filesystem. File system seperti ini memiliki kemungkinan yang lebih
kecil mengalami kerusakansaat terjadi power failure atau system crash.
11. Meng-update file system untuk menunjukkan perubahan ke file dan direktori
biasanyamembutuhkan banyak operasi write yang terpisah. Sebagai contoh, operasi
delete dalam filesystem Sistem Unix melibatkan dua proses: Menghilangkan entri
direktori Menandai inode dan space file sebagai space yang kosong Jika terjadi
crash antara proses 1 dan 2, akan akan inode yang rusak. Di sisi lain, jika hanya
proses 2 yang dijalankan pertama kali sebelum crash maka file yang belum dihapus
Akan ditandai sebagai kosong dan mungkin akan ditumpuk dengan file lain. Dalam file
system non-journaling, mencari dan memperbaiki kerusakan ini akammembutuhkan
penelusuran menyeluruh pada struktur datanya. Hal ini akan memakan waktulama jika
file system tersebut besar dan jika bandwidth I/O kecil. File system
journalingmenjaga jurnal perubahan yang akan dibuat, setiap waktu. Ketika terjadi
crash, pemulihan dapatdilakukan dengan simple dengan mengulang perubahan dari
jurnal ini hingga file system kembalikonsisten. Beberapa File system yang pernah
dikembangkan Berikut ini adalah beberapa filesystem yang terkenal yang pernah
dikembangkan. File system-file system berikut terutamadikembangkan untuk Sistem
Operasi Windows dan Unix atau Linux. Namun, ada juga filesystem yang dapat berjalan
baik di Linux maupun di Windows.3.3 Mengenal File Sistem Sebelum media dapat
digunakan untuk menyimpan data, biasanya media tersebut harusdipartisi dan diformat
ke dalam logical volume terlebih dulu. Mempartisi adalah suatu aktivitasuntuk
membagi media secara logikal ke dalam bagian-bagian yang berfungsi sebagai unit
fisikterpisah. Logical volume adalah sebuah partisi atau kumpulan partisi yang
berfungsi sebagai satukesatuan yang telah diformat dengan suatu filesistem.
Beberapa jenis media, seperti disket, dapatberisi paling banyak satu partisi (dan
sebagai konsekuensi, satu logical volume). Format logicalvolume ditentukan oleh
filesistem yang dipilih.Suatu filesistem menentukan cara file dinamai,disimpan,
diorganisir dan diakses pada logical volumes. Terdapat beragam filesistem, masing-
masing menyediakan fitur dan struktur data yang unik. Namun demikian, semua
filesistemmemiliki beberapa ciri umum.
12. Pertama, mereka menggunakan konsep direktori dan file untuk mengorganisir
danmenyimpan data. Direktori adalah struktur organisasional yang digunakan
untukmengelompokkan file. Selain file, direktori dapat berisi direktori lain yang
disebut subdirektori.Kedua, filesistem menggunakan beberapa struktur data untuk
menunjuk lokasi file pada media.Mereka juga menyimpan masing-masing file data yang
ditulis ke media dalam satu atau lebihunit alokasi file. Hal ini dikenal sebagai
cluster oleh beberapa filesistem (misalnya FileAllocation Table [FAT], NT File
System [NTFS]) dan blok oleh filesistem lainnya (misalnyafilesistem Unix dan
Linux). Sebuah unit alokasi file adalah sebuah kelompok sektor, yangmerupakan unit
terkecil yang dapat diakses pada suatu media.Berikut ini adalah beberapa filesystem
yang umum digunakan:3.3.1 FAT FAT merupakan File System yang digunakan dalam Sistem
Operasi Windows. NamaFAT berasal dari penggunaan tabel yang memusatkan informasi
tentang area mana milik fileyang kosong atau mungkin tidak dipakai, dan di mana
setiap file yang disimpan dalam disk.Untuk membatasi ukuran tabel, space disk
dialokasikan ke file dalam grup-grup sektor hardwareyang bersebelahan, disebut
cluster. Ketika disk drive berkembang, jumlah maksimum cluster punmeningkat dan
begitu juga jumlah bit yang mengidentifikasikan bahwa cluster telah
berkembang.Versi pengembangan dari format file system FAT dinamai sesuai dengan
jumlah bit tabelelemennya, yaitu: FAT12, FAT16 dan FAT32. FAT12. FAT12 merupakan
file sistem asli dari FAT yang pertama kali digunakan dalamsistem operasi MS-DOS.
FAT12 bisa diakses oleh MS-DOS dan semua OS Windows. FAT12menggunakan sebuah entri
FAT 12-bit untuk menunjuk entri dalam file sistem atau dengan katalain menggunakan
ukuran unit alokasi yang memiliki batas hingga 12 bit. Batas kapasitas elemenFAT12
mencapai hingga 32 MB. Berikut bentuk organisasi disk pada FAT12 sistem file.
13. FAT16. MS-DOS, Windows 95/98/Nt/2000/Xp, Server Windows 2003, dan beberapa
sistem operasi UNIX mendukung FAT16 secara asli. FAT16 biasanya juga digunakan
untuk alat multimedia seperti audio player dan kamera digital. FAT16 menggunakan
ukuran unit alokasi yang memiliki batas hingga 16 bit. Volume FAT16 terbatas hingga
maksimum 2 GB di dalam MS-DOS dan Windows 95/98. Namun saat ini Windows NT dan
sistem operasi yang lebih baru meningkatkan ukuran volume maksimum FAT16 menjadi 4
GB FAT32. Diperkenalkan mulai Windows 95 OEM Service Release 2 (OSR2), Windows
98/2000/XP, dan Windows Server 2003 mendukung FAT32 secara asli, seperti halnya
beberapa alat multimedia. FAT32 menggunakan ukuran unit alokasi yang memiliki batas
hingga 32 bit. Ukuran maksimum volume FAT32 adalah 2 terabytes (TB). Perbandingan
FAT 12 or FAT 16 or FAT 323.3.2 NTFS (New Technology File System) NTFS adalah suatu
filesistem dapat dipulihkan, yang berarti bahwa ia dapat secaraotomatis
mengembalikan konsistensi filesistem manakala terjadi kesalahan. Sebagai
tambahan,NTFS mendukung data kompresi dan enkripsi, dan memungkinkan ijin tingkat
user dan grupdidefinisikan untuk file dan direktori. Ukuran maksimum volume NTFS
adalah 2TB. NTFS merupakan file system standar untuk Windows NT termasuk windows
200, XP,Server 2003, Windows Server 2008 dan Wondows Vista. NTFS menggantikan file
system FATsebagai file system yang dipakai untuk Sistem Operasi Windows. Versi
rilis NTFS ada beberapa,sebagai berikut: v1.0 with NT 3.1, dirilis pertengahan-1993
v1.1 with NT 3.5 dirilis 1994
14. v1.2 (pertengahan -1995) and NT 4 (pertengahan -1996) v3.0 dari Windows 2000
v3.1 dari Windows XP (2001), Windows Server 2003 (2003), Windows Vista (pertengahan
-2005) dan Windows Server 2008 Dalam NTFS, semua file data � nama file, tangal
pembuatan, ijin akses dan isi �disimpan dalam metadata dalam Master File Table
(MFT). NTFS mengijinkan setiap urutan 16-bit nilai utuk encoding nama (nama file,
nama stream, nama index, dll). Master File tablemengandung metadata tentang setiap
file, direktori dan metafile dalam suatu volume denganpartisi NTFS. Metadata itu
termasuk nama filem lokasim ukuran dan ijinnya. Strukturnyamendukung algoritma yang
memperkecil disk fragmentation.Tujuan spesifik dari NTFS adalah: Reliability
(Keandalan) Satu hal yang penting dari sebuah file system yang serius adalah bahwa
file system tersebut harus dapat pulih kembali dari masalah tanpa kehilangan data
hasil. Disini NTFS mencegah hilangnya data dan memperkecil toleransi dari kesalahan
dalam processing. Security dan Access Control (Kontrol Akses dan Keamanan)
Kelemahan dari FAT adalah ketidakmampuan mengontrol akses file atau folder dari
hard disk, sehingga memungkinkan pihak luar untuk mengubah data pada suatu sistem
jaringan. Breaking Size Barriers (Menghambat Ukuran) Karena pada sistem FAT dalam
hal ini FAT16 tidak dapat mempartisi lebih dari 4GB, sedang NTFS didesain untuk
partisi yang jauh lebih besar. Storage Efficiency (Efisiensi Penyimpanan) NTFS
lagi-lagi memperbaiki kelemahan pada FAT16 karena pada sistem ini memungkinkan
terjadinya ketidak efisienan pada penyimpanan pada kapasitas hard disk. Untuk itu
NTFS menggunakan metode lain dalam alokasi kapasitas hard disk tersebut. Long File
Names (Panjang Nama File) NTFS memungkinkan nama sebuah file hingga 255 karakter,
dibandingkan dengan pada FAT adalah 8+3 karakter.
15. Networking (Jaringan) Saat ini networking berkembang pesat dengan NTFS
memungkinkan networking dalam skala besar. Storage Fault Tolerance (Penyimpanan
Toleransi Kesalahan) Data-redundant storage methods dapat diterapkan pada NTFS. Hal
ini berguna dalam menjamin dan melindungi jika suatu data/berkas mengalami
kerusakan dengan mengkopi ulang data yang sama dari disk mirror. Multiple Data
Stream (Beberapa Data Stream) NTFS dapat terdiri dari lebih 1 stream. Stream
tambahan ini dapat berisi berbagai jenis data, walau data itu hanya mendeskripsikan
berkas atau metadata. Unicode Names (Unicode Nama) Unicode merupakan paket karakter
standar yang digunakan pada NTFS dan menggantikan karakter older-single byte ASCII.
Setiap karakter pada kebanyakan bahasa yang natural adalah direpresentasikan dengan
double-byte number dalam paket karakter Unicode. Improved File Attribute Indexing
(Meningkatkan Index File Atribut) Dalam NTFS juga terdapat kemampuan untuk memberi
indeks pada atribut berkas, fungsinya ialah sebagai penglokasian dan sorting. Data
Compression (Kompresi Data) Dalam kompresi data metode yang digunakan adalah
Lempel-Ziv Compression. Dengan algoritma ini dipastikan tidak ada data yang hilang
pada proses kompresi.3.3.3 ext2 Ext2 atau second extended file system adalah file
system untuk kernel Linux. ext2fsmendukung jenis file dan pemeriksaan filesistem
standar Unix untuk memastikan konsistensifilesistem. Ukuran volume ext2fs maksimum
adalah 4 TB. Meskipun bukan termasuk file systemjournaling, tapi penerusnya yaitu
ext3 menyediakan fitur journaling dan hampir sepenuhnyakompatibel dengan ext2. File
system pertama yang dipakai dalam Sistem Operasi Linux adalahMinix FS yang hampir
bebas sepenuhnya dari bug, namun menggunakan offset 16-bit danukuran maksimum hanya
64 MB. Nama file juga terbatas hanya 14 karakter. Untuk mengatasihal ini, dibuatlah
file system baru yang dimulai dengan penambahan layer file system virtualpada
kernel Linux.
16. File system ext dirilis pada April 1992 sebagai file system pertama yang
menggunakanVFS API dan dimasukkan dalam Linux 0.96c. File system ext menyelesaikan
dua masalahUtama dalam Minix FS (ukuran partisi max dan panjang nama file), dan
membolehkan partisihingga 2GB dan nama file hingga 255 karakter. Namun masih ada
masalah: belum ada dukunganuntuk akses terpisah, modifikasi inode dan timestamp
modifikasi data. Ext2 didesain dengantujuan bahwa file system ini akan dapat
dikembangakan lagi, dengan sisa space yang masihbanyak pada struktur datanya untuk
dipakai dalam versi mendatang. Fitur seperti POSIX ACLdan atribut diperluas
diimplementasikan pertama kali pada ext2 karena mudah diperluas daninternalnya
sangat dimengerti. Dalam Kernel Linux hingga 2.6, batasan dalam driver blok berarti
bahwa file system ext2memiliki ukuran file maksimum 2 TiB. Kernel Linux yang lebi
baru membolehkan ukuran fileyang lebih besar, namun sistem 32-bit hanya membatasi
hingga ukuran file 2 TiB. Ext2 masihdirekomendasikan sebagai file system journaling
pada Flash Drive USB bootable dan mediasolid-state lainnya. Ext2 melakukan operasi
write yang lebih sedikit dibading ext3 karena ext2tidak perlu melakukan write ke
journal. Faktor utama yang mempengaruhi usia flash Driveadalah siklus hapus, dan
juga siklus write, hal inilah yang menyebabkan pemakaian ext2membuat usia media
flash drive lebih panjang. Space dalam ext2 dibagi dalam blok-blok danditata dalam
grup-grup blok, sama dnegan grup silinder dalam File System Unix. Hal inidilakukan
untuk mengurangi fragmentasi external dan mengurangi pencarian disk saat me-
readdata yang besar. Tiap grup blok berisi superblok, bitmap grup blok, bitmap
inode diikuti oleh data blokaktual. Superblok mengandung informasi penting yang
krusial untuk proses booting SistemOperasi, namun copy back up juga dibuat pada
setiap grup blok dari tiap blok dalam file system.Hanya copy pertama yang ada pada
blok pertama file system yang dipakai dalam proses booting.Deskriptor blok
menyimpan nilai bitmap blok, bitmap inode dan table inode awal untuk tiap grupblok
yang nantinya semuanya akan disimpan dalam tabel grup descriptor.
17. 3.3.4 ext3 Ext3 atau third extended file system adalah file system journaling
yang umum digunakandalam Sistem Operasi Linux. Ext3 merupakan pengembangan versi
journaling dari file systemext2 yang hampir kompatibel secara keseluruhan dengan
ext2 dan menyediakan kemampuanmenjurnai yang memungkmkan pemeriksaan konsistensi
filesistem dilakukan dengan cepat padasejumlah data yang besar.. Adanya fitur
journaling inilah yang membuatnya lebih dibanding ext2yang membuatnya lebih
reliable dan menghilagkan keperluan untuk mengecek file systemsetelah shutdown yang
tidak semestinya. Ukuran volume extSfs maksimum adalah 4 TB.�ReiserFS.21 ReiserFS
didukung oleh Linux dan merupakan filesistem baku bagi beberapa versiLinux, la
memberikan kemampuan menjurnai dan jauh lebih cepat dibandingkan filesistemext2fs
dan extSfs. Ukuran volume maksimum adalah 16 TB. Meskipun kecepatannya tidak lebih
baik daripada file system Linux lainnya seperti JFS,ReiserFS dan XFS, tapi ext3
memiliki manfaat yang signifikan yaitu membolehkan upgrade ditempat dari file
system ext2 tanpa harus mem-back up dan me-restore data yang berartimengurangi
konsumsi daya CPU. Ext3 juga diangap lebih aman dibanding file system Linuxlainnya
karena kederhanaannya dan juga uji cobanya yang luas.File system ext3 menambahkan
fitur-fitur ini dibanding pendahulunya: File system journaling Penambahan file
system secara online Indeks htree untuk direktori yang lebih luasTanpa ini, file
system ext3 akan sama saja dengan ext2.Ada 3 level journaling yang tersedia dalam
implementasi ext3 pada Sistem Linux: Journal (resiko terendah) Metadata dan isi
file disimpan dalam jurnal sebelum dikerjakan ke file system utama. Ordered (resiko
menengah) Hanya metadata yang disimpan dalam jurnal, isi file tidak disimpan tapi
dijamin bahwa bahwa isi file disimpan ke disk sebelum metadata yang bersesuaian
ditandai untuk dicommit dalam jurnal. Writeback (resiko tertinggi) Hanya metadata
yang disimpan dalam jurnal, isi file tidak. Isi file mungkin di-write
18. sebelum atau sesudah jurnal di-update. Akibatnya, file dimodifikasi tepat
sebelum crash dapat terjadi.Ukuran 1KiB 16GiB <2tib p="p">BLok 2KiB 256GiB <4tib
p="p">Ukuran file Max 4KiB 2TiB <8tib p="p">Ukuran file system 8KiB 2TiB <16tib
nbsp="nbsp" p="p"Max3.4 File system and Sistem Operasi Hampir semua OS juga
menyediakan file system, karena file system adalah bagianintegral dari semua OS.
Tugas nyata dari OS microcomputer generasi awal hanyalah berupamanajemen file.
Beberapa OS masa kini memiliki komponen terpisah untuk menangani filesystem yang
dulunya disebut Disk Operating System (DOS) ini. Dalam beberapamikrokomputer, DOS
diload secara terpisah dari bagian OS yang lain. Karena itulah, diperlukan
interface antara user dan file system yang disediakan olehsoftware dalam Sistem
Operasi. Interface ini dapat berupa textual seprti Unix Shell atau grafisseperti
file browser. Jika berupa grafis, seringkali digunakan metafora seperti folder,
isidokumen, file dan direktori folder.3.4.1 File system flat Dalam sebuah file
system flat, tidak ada subdirektori � semua file disimpan pada levelmedia yang sama
(root), misal hard disk, floppy disk, dll. Sistem ini menjadi tidak efisien
ketikajumlah file bertambah banyak, dan karenanya sulit bagi user untuk
mengorganisir data ke dalamgrup-grup.3.4.2 File system dalam platform Sistem
Operasi Unix-like Sistem Operasi Unix-like membuat file system virtual, yang
membuat semua file padasemua media tampak berada pada susatu hirarki tunggal. Hal
ini berarti, dalam sistemtersebut,ada satu direktori /root, dan setiap file yang
ada pada sistem diletakkan di bawahdirektori tersebut.. Lebih jauh lagi,
direktori /root tidak harus berada dalam suatu media fisik. D-
19. irektori tersebut bisa jadi tidak ada di Hard Drive bahkan mungkin tidak berada
di komputerAnda. OS Unix-Like dapat menggunakan sumber daya dari jaringan sebagai
direktori /root-nya. International Organization for Standardization (ISO) 9660 dan
Joliet ISO 9660 filesistem biasanya digunakan pada CD-ROM. Filesistem CD-ROM yang
popular lainnya adalah Joliet, suatu varian ISO9660. ISO 9660 mendukung panjang
nama file sampai 32 karakter, sedangkan Joliet mendukung sampai 64 karakter. Joliet
juga mendukung karakter Unicode di dalam pemberian nama file. Universal Disk Format
( UDF). UDF adalah filesistem yang digunakan untuk DVD dan juga digunakan untuk
beberapa CD. Sistem Unix-like memberikan nama kepada tiap media, tapi hal ini
bukanlah carabagaimana file dalam media tersebut diakses. Untuk mendapatkan akses
ke file di media lain,Anda pertama kali harus memberitahu OS di direktori mana file
tersebut akan tampil. Proses inidisebut dengan mounting sebuah file system. Sebagai
contoh, untuk mengakses file pada CD-ROM, user harus memberitahu OS �ambil file
system dari CD-ROM ini dan tampilkan padadirektori ini dan ini�. Direktori yang
diberikan ke OS disebut sebagai mountpoint, yang bisaberupa, misalnya /media.
Direktori /media ada pada kebanyakan Sistem Unix dan ditujukankhusus untuk dipakai
sebagai mount point untuk media removable seperti CD, DVD, dan floppydisk. Umumnya,
hanya administrator aau pengguna root dapat melakukan aksi mounting filesystem ini.
OS Unix-like seringkali sudah memiliki software dan tools yang menangani
prosesmounting dan menyediakan fungsi baru. Strategi ini disebut dengan �auto-
mounting�, sepertiyang tercermin dalam tujuannya. Dalam banyak situasi, file system
selain root diharuskan tersedia segera setelah OS telah boot. Karena itu, semua
Sistem Unix-like menyediakan fasilitas untuk me-mount file system pada saat
booting. Administrator menyebut file system ini Dalam beberapa situasi, tidak perlu
me-mount beberapa file system pada saat boot, meskipun mungkin dibutuhkan
setelahnya Media removable telah menjadi hal yang umum dengan platform
mikrokomputer. Removable media ini mengijinkan program dan data untuk ditransfer
antar mesin tanpa koneksi fisik. Misalnya USB flash drive, CD-RM, dan DVD. Hal ini
menyebabkan
20. dikembangkannya perangkat untuk mendeteksi keberadaan suatu medium dan
ketersediaan mount-point serta me-mount media tersebut tanpa intervensi dari user.
Sistem Unix-like yang lebih maju juga telah mengenalkan konsep yang disebut
supermounting. Contohnya, sebuah floppy disk yang telah di-supermount dapat dicopot
secara fisik dari sistem. Dalam keadaan normal, disk harus sudah disinkronkan dan
kemudian di-unmount sebelum dicopot. Sinkronisasi yang diperlukan sudah terjadi,
disk yang berbeda dapat disisipkan ke dalam drive. Sistem secara otomatis
mengetahui bahwa disk telah dirubah dan mengupdate isi mount point untuk
mengindikasikan medium baru. Fungsi serupa ditemukan pada mesin Windows standar
Inovasi serupa yang dipilih oleh beberapa pengguna adalah menggunakan autofs,
sistem yang tidak membutuhkan perintah mount manual. Perbedaannya dengan supermount
adalah media di-mount secara transparan ketika permintaan ke file system dibuat.
Cara ini sesuai untuk file system pada server jaringan.3.4.2.1 File system dalam
platform Linux Linux mendukung banyak file system yang berbeda, tapi pilihan yang
umum untuksistem di antaranya adalah keluarga ext* (seperti ext2 dan ext3), XFS,
JFS dan ReiserFS 4.2.2 Hierarchical File System (HFS). HFS didukung secara langsung
oleh Mac OS. HFS sebagian besar digunakan di dalam versi lama Mac OS tetapi masih
didukung dalam versi lebih baru. Ukuran volume maksimum HFS di Mac OS 6 dan 7
adalah 2 GB. Ukuran volume maksimum HFS dalam Mac OS 7.5 adalah 4 GB. Mac O 7.5.2
dan sistem operasi Mac yang terbaru meningkatkan ukuran volume maksimum
HFSmenjadi2TB HFS Plus. HFS Plus didukung secara langsung oleh Mac OS 8.1 dan versi
selanjutnya dan ia merupakan sebuah filesistem berjurnal di Mac OS X. HFS Plus
adalah penerus HFS dan memberikan banyak peningkatan seperti mendukung nama file
yang panjang dan nama file Unicode untuk penamaan file internasional. Ukuran volume
maksimum HFS Plus adalah 2 TB. File system dalam platform Mac OS X MacOS X
menggunakan file system HFS Plusyang merupakan turunan dari Mac OS klasik yaitu.
HFS plus adalah file system yang kayametadata dan case preserve. Karena Mac OS X
memiliki root milik Unix, aturan Unix jugaditambahkan dalam HFS Plus. Versi terbaru
dari HFS plus menambahkan journaling untuk
21. mencegah kerusakan pada struktur file system dan mengenalkan sejumlah optimasi
dalam halalgoritma alokasi dalam usaha untuk memecah file secara otomatis tanpa
membutuhkandefragmenter luar. Nama file dapat mencapai 255 karakter. HFS Plus
menggunakan pengkodean Unicodeuntuk menyimpan nama file. Dalam Mac OS X, tipe file
dapat diambil dari type code yangdisimpan dalam metadata atau nama file. HFS Plus
memiliki tiga macam link: Hard Link sepertipada Unix, Link simbolis Unix, dan
alias. Alias didesain untuk menangani link ke file asli meskifile tersebut telah
dipindah ataupun diubah namanya. Alias ini tidak diinterpretasikan dalam
filesystem, tapi pada kode File Manager pada userland. Mac OS X juga mendukung
penggunaan File System UFS yang merupakan turunan dariFile System Unix BSD.Unix
File System (UFS). UFS didukung secara asli oleh beberapa jenissistem operasi Unix,
termasuk Solaris, FreeBSD, OpenBSD, dan Mac OS X Namun demikian,kebanyakan sistem
operasi sudah menambahkan fitur khusus, sehingga detil UFS berbeda
antarimplementasi. Compact Disk File System (CDFS). Seperti indikasi namanya, CDFS
filesistemdigunakan untuk CD.3.4.3 File system dalam platform Microsoft Windows
Microsoft Windows menggunakan file system FAT dan NTFS .File System FAT
(FileAllocation Table) yang didukung oleh semua versi Microsoft Windows merupakan
evolusi filesystem yang digunakan dalam MS DOS. Selama bertahun-tahun, banyak fitur
telah ditambahkandalam pengembangannya, yang terinspirasi dari fitur serupa yang
ada pada file system yangdipakai pada Unix. Versi lama dari file system FAT (FAT12
dan FAT16) memiliki keterbatasandalam memberikan nama file, batasan dalam hal
jumlah entri dalam direktori root dalam filesystem dan batasan jumlah maksimum
partisi. Secara spesifik, FAT12 dan FAT16 membatasinama file hanya sampai 8
karakter dan 3 karakter untuk perluasan. VFAT yang merupakanperluasan dari FAT12
dan FAT16 mulai diperkenalkan pada Windows NT dan berikutnyadimasukkan dalam
Windows 95, yang mengijinkan nama file yang panjang. NTFS yangdiperkenalkan bersama
dengan Wndows NT mengijinkan kontrol berbasis Access Control List.NTFS juga
mendukung Hard link, aliran file jamak, indexing atribut, pengecekan kuota,kompresi
dan menyediakan mount point untuk file system lainnya.
22. Tidak seperti Sistem Operasi lainnya, Windows menerapkan abstraksi berupa drive
letterpada level user untuk membedakan sebuah disk atau partisi dari yang lain.
Sebagai contoh, pathC:Windows menunjukkan direktori Windows pada partisi yang
ditunjukkan oleh label huruf C.Drive dalam jaringan juga dapat di-map menjadi drive
letter.3.4.3.1 Proses pengambilan data Sistem Operasi memanggil IFS (Installable
File System) manager. IFS kemudianMemanggil FSD (File System Driver) yang
sebenarnya untuk membuka file yang diminta daribeberapa pilihan FSD yang bekerja
untuk File System yang berbeda �NTFS, VFAT, CDFS(untuk drive optikal) dan network
drive. FSD kemudian mendapatkan info lokasi kluster pertamadari file pada disk dari
FAT, VFAT atau MFT (Master File Table). MFT inilah yang yangmemetakan semua file
pada disk dan merekan jejak di mana file disimpan.3.4.3.2 File Identification File
format identifikasi adalah proses untuk mencari tahu format dari urutan byte.
Systemoperasi biasanya mencari tahu format dari urutan byte melalui ekstensi file
ataupun melaluiinformasi yang terdapat pada MIME. Aplikasi forensik perlu
mengidentifikasi jenis file darikonten.3.4.3.3 Time Data recovery merupakan bagian
dari analisa forensik di mana hal ini merupakankomponen penting di dalam mengetahui
apa yang telah terjadi, rekaman data, korespondensi,dan petunjuk lannya. Banyak
orang tidak menggunakan informasi yang berasal dari datarecovery karena dianggap
tidak murni/asli/orisinil. Setiap sistem operasi bekerja dalam arah yang unik,
berbeda satu sama lain (walaupunberplatform sistem operasi yang sama). Untuk
melihat seberapa jauh data sudah dihapus ataubelum, perlu memperhatikan segala
sesuatu yang ada dalam raw disk. Jika data yang digunakanuntuk kejahatan ternyata
masih ada, maka cara yang termudah adalah menguji data denganpemanfaatan tool yang
ada pada standar UNIX, seperti strings, grep, text pagers, dan
sebagainya.Sayangnya, tools yang ada tidak menunjukkan data tersebut dialokasikan
di mana. Contohnya,intruder menghapus seluruh system log files (dimulai dari bulan,
hari, dan waktu) dari minggu
23. pertama Januari, seharusnya ditulis untuk melihat syslog tersebut: Melalui
investigasi dari sistemyang dirusak oleh intruder, sistem files UNIX yang modern
tidak menyebar contents dari suatufile secara acak dalam disk. Sebagai gantinya,
sistem files dapat mencegah fragmentasi file,meskipun setelah digunakan beberapa
tahun. File content dengan sedikit fragmentasi akan lebih mudah untuk proses
recover dari padafile content yang menyebar dalam disk (media penyimpanan). Tetapi
sistem file yang baikmemiliki beberapa keuntungan lain, salah satunya mampu untuk
menghapus informasi untukbertahan lebih lama dari yang diharapkan. Dalam kasus
Linux, sistem file extension tidak akan menghapus lokasi dari urutanpertama 12 blok
data yang tersimpan dalam inode jika file sudah dipindah/dihapus. Hal iniberarti
menghapus data dapat dikembalikan langsung dengan menggunakan icat dalam inodeyang
terwakilkan. Seperti metode data recovery lainnya, tidak akan menjamin jika data
tetap adadi tempat semula. Jika file dihapus dalam sistem operasi Linux, inode?s
time akan terupdate.Dengan menggunakan informasi tersebut, data dapat dikembalikan
dari 20 inode pada sistem fileyang dihapus. Untuk itu seringkali penting untuk
mengetahui kapan suatu file digunakan ataudimanipulasi, dan kebanyakan sistem
operasi mencatat timestamps tertentu yang terkait denganfile. Timestamps yang
biasanya digunakan adalah waktu modifikasi, akses, dan penciptaanmodification,
access, and creation?, MAC), sebagai berikut: Waktu Modifikasi Ini adalah waktu
terakhir file diubah dengan berbagai cara, meliputi ketika suatu file ditulis dan
ketika file tersebut diubah oleh program lain Waktu Akses. Ini adalah waktu
terakhir dilakukannya akses apapun pada file (misalnya, dilihat, dibuka, dicetak)
Waktu penciptaan. Ini biasanya merupakan waktu dan tanggal file diciptakan.
Bagaimanapun, ketika file disalinkan ke sistem, waktu penciptaan akan menjadi waktu
file dicopy ke sistem yang baru.Waktu modifikasi akan tetap utuh. Filesistem yang
berbeda mungkin saja menyimpan jenis waktu yang berbeda. Sebagaicontoh, Sistem
Windows menyimpan waktu modifikasi terakhir, waktu akses terakhir, dan
waktupenciptaan file. Sistem UNIX menyimpan waktu modifikasi terakhir, perubahan
inode terakhir,dan waktu akses terakhir, namun beberapa sistem UNIX (termasuk versi
BSD dan SunOS) tidakmemperbaharui waktu akses terakhir file eksekutabel ketika
mereka dijalankan. Beberapa sistem
24. UNIX merekam waktu terkini ketika metadata file diubah. Metadata adalah data
tentang data;untuk filesistem, metadata adalah data yang menyediakan informasi
mengenai isi file. Jika suatu analis ingin menetapkan garis waktu yang akurat atas
suatu peristiwa, makawaktu file harus dipelihara. Analis harus sadar bahwa tidak
semua metode untuk memperolehfile dapat memelihara waktu file. Image bit stream
dapat mempertahankanwaktu file karenadilakukan penyalinan bit-for-bit; melakukan
logical backup menggunakan beberapa tool dapatmenyebabkan waktu penciptaan file
terubah ketika file data disalinkan. Oleh karena itu, bilawaktu file penting, harus
digunakan imaging bit stream untuk mengumpulkan data.Analis juga harus menyadari
bahwa waktu file tidak selalu akurat. Beberapa alasanketidakakuratan itu adalah
sebagai berikut: Jam komputer tidak mempunyai waktu yang benar itu. Sebagai contoh,
jam mungkin tidak selalu disinkronisasi secara teratur dengan sumber waktu resmi
Waktu tidak mungkin direkam dengan tingkat detil yang diharapkan, seperti
menghilangkan detikatau beberapa menit Penyerang mungkin telah mengubah waktu file
yang direkam.4 Winhex : Forensic Software WinHex pada intinya adalah editor
hexadecimal universal, yang paling utama adalahsangat membantu dalam bidang
computer forensics, data recovery, proses data dalam tingkatyang rendah, dan
keamanan IT. Sebuah peralatan yang semakin maju setiap harinya danpenggunaan dalam
keadaan darurat : memeriksa dan mengedit semua jenis file mengembalikandata yang
telah dihapus atau data yang telah hilang dari hard drives system file yang
corrupt,atau dari kartu memory digital camera.Berikut adalah beberapa fitur WinHex,
antara lain : Disk editor untuk hard disk, floppy disk, CD-ROM & DVD, ZIP,
SmartMedia, Compact Flash Dukungan untuk FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS,
CDFS, UDF Memiliki interpretasi untuk sistem RAID dan dynamic disks Berbagai macam
teknik pemulihan data RAM editor, menyediakan akses kepada physical RAM, dan
proses�proses yang dimiliki virtual memory
25. Penerjemah data, mengetauhi 20 jenis type data Mengedit struktur data
menggunakan templates (contoh : untuk memperbaiki tabel partisi / boot sector)
Menyatukan dan memisahkan file, menyatukan dan membagi kejanggalan dalam
bytes/words Menganalisa dan membandingkan file � file Pencarian yang paling
flexibel dan mengganti fungsi � fungsi Disk cloning (undr DOS dengan X-Ways
Replica) Mengatur gambar dan mengamankannya (menurut pilihan dikecilkan ukuran
filenya atau dipisahkan menjadi dokumen � dokumen sebesar 650 MB) Memprogram
interface (API) dan menulis program Enkripsi AES 256-bit, pengecekan total, CRC32,
hashes (MD5, SHA-1) Menghapus file rahasia dengan aman, membesihkan hard drive demi
menjaga privacy Mengimpor semua format clipboard, termasuk ASCII hex Mengkonversi
diantara biner, hex ASCII, Intel hex, dan Motorola S Setelan karakter : ANSI ASCII,
IBM ASCII, EBCDIC, (Unicode) Pergantian jendela yang cepat. Mencetak. Pembangkit
nomor acak Mendukung file dengan ukuran yang lebih dari 4 GB. Sangat cepat. Mudah
digunakan. Pertolongan yang selalu ada setiap saat X-Ways forensik, edisi forensik
dari WinHex, adalah lingkungan computer forensik yangkuat dan mampu dengan sejumlah
fitur forensik, menerjemahkannya menjadi perangkat analisisyang kuat : menangkap
ruang yang bebas, ruang yang lemah, ruang dalam partisi, dan teks,membuat table
yang berisi petunjuk dengan detail yang lengkap dengan segala file yangtermasuk dan
file yang telah dihapus dan direktori dan bahkan alur data alternative (NTFS),
filedengan penomoran yang tertahan, dan banyak lagi. Juga menyediakan sebagai
penggambar diskdalam tingkatan rendah dan peralatan cloning yang menciptakan cermin
sesungguhnya (termasukruang yang lemah) dan membaca sebagian besar format drive dan
type media, pendukung �pendukung drive dan file dari ukuran yang pada dasarnya
tidak terbatas (bahkan terabytes dariNTFS volumes).
26. X-Ways forensics dan WinHex pada dasarnya mengartikan dan menunjukan
strukturdirektori pada FAT, NTFS, Ext2/3, Reiser, CDFS, dan media UDF dan file
gambar. Itumenunjukan pemulihan aman pada hard disk, memory card, flash disks,
floppy disks, ZIP, JAZ,CDs, DVDs, dan banyak lagi. X-Ways forensics dan WinHex
menyatukan beberapa mekanismepenyembuhan file yang otomatis dan mengizinkan
pemuliha data secara manual. WinHexmemberikan kepuasan, pencarian fungsi yang
sangat cepat secara simultan yang mungkin andabutuhkan untuk mencari di seluruh
media (atau data gambar), termasuk kelemahan, untuk datayang telah dihapus, data
yang disembunyikan dan banyak lagi. Melalui akses fisik, hal ini dapatdilakukan
meskipun isinya tidak terdeteksi oleh operating system, contohnya yang
disebabkanoleh sistem file yang corrupt dan tidak diketahui. Winhex juga dapat
digunakan untuk:4.1 Drive cloning, drive imaging Membuat suatu duplikasi yang bisa
menghemat waktu dalam menginstall suatu dansoftware lainnya untuk beberapa komputer
yang sejenis atau agar memungkinkan kita untukmemperbaiki suatu installasi yang
sedang dilakukan apabila ada data yang rusak.4.2 RAM editor Untuk
menjalankan/memanipulasi program yang sedang berjalan dan dalam permainankomputer
khusus.4.3 Analyzing files Untuk menentukan jenis recoveri data sebagai bagian
rantai yang hilang oleh ScanDiskatau ChkDisk4.4 Wiping confidential files or disks
Dengan menghapus file rahasia dengan winhex maka tidak satupun dari komputer
yangada bahkan spesialis komputer forensik sekalipun tidak akan bisa mendapatkan
file itu lagi.4.5 Wiping unused space and slack space Dengan menghapus ruang kosong
yang tidak terpakai maka akan meminimalkan ukuranbackup datanya. Pada drive
berjenis NTFS, winhex dapat membersihkan semua file $Mft(Master File Table) yang
tidak terpakai.4.6 ASCII - EBCDIC conversion Memungkinkan kita untuk bisa merubah
kode ASCII ke EBCDIC4.7 Binary, Hex ASCII, Intel Hex, and Motorola S conversion
Digunakan oleh programmer yang menggunakan (E)PROM
27. 4.8 Unifying and dividing odd and even bytes/words Digunakan oleh programmer
yang menggunakan (E)PROM4.9 Conveniently editing data structure Kita bisa merubah
struktur data yang ada dengan baik sesuai dengan apa yang kitainginkan.4.10
Splitting files that do not fit on a disk Kita bisa menggabungkan atau membagi file
yang tidak muat di disk kita4.11 WinHex as a reconnaissance and learning tool Kita
bisa menemukan program-program lain yang disimpan pada suatu file. Kita jugabisa
mempelajari file-file yang formatnya tidak kita ketahui dan bagaimana file tersebut
bekerja.4.12 Finding interesting values (e.g. the number of lives, ammunition,
etc.) in saved game files Menggunakan penggabungan antara pencarian atau
menggunakan perbandingan file4.13 Manipulating saved game files Untuk permainan di
komputer, kita bisa mengikuti cheat-nya yang ada di internet ataukita bisa membuat
cheat sendiri.4.14 Upgrading MP3 jukeboxes and Microsoft Xbox with larger hard
drive Untuk meng-upgrade, hard disk baru memerlukan persiapan dan disinilah
winhexdipergunakan4.15 Manipulating text Untuk mengubah text di sebuah file berupa
binary yang di aplikasi tersebut tidakdiizinkan untuk bisa merubahnya.4.16 Viewing
and manipulating files that usually cannot be edited Untuk mengubah file yang tidak
bisa diubah karena dilindungi oleh windows4.17 Viewing, editing, and repairing
sistem areas Seperti master boot record dengan table pembagiannya dan boot
sector.4.18 Hiding data or discovering hidden data Winhex secara khusus
memungkinkan kita menggunakan bagian yang kelebihan dantidak digunakan oleh sistem
operasi4.19 Copy & Paste Kita dimungkinkan untuk secara bebas untuk mengkopi dari
disk dan menuliskannya kedalam clipboard di disk tanpa perlu melihat batasan
bagian/sektor nya
28. 4.20 Unlimited Undo Kita bisa mengulang apa yang telah kita ubah atau kerjakan
dengan bebas tanpa batasan.4.21 Jump back and forward Winhex menyimpan
sejarah/history apa yang telah kita kerjakan sehingga kita bisakembali ke sebelum
atau ke tahap apa yang kita telah kerjakan dengan mudah seperti pada
webbrowser.4.22 Scripting Pengubahan file otomatis menggunakan script. Script bisa
dijalankan dari start centeratau awal perintahnya. Ketika script dijalankan kita
bisa membatalkannya dengan menekan esc.4.23 API (Application Programming Interface)
Pengguna yang professional (programer) akan memanfaatkan kemampuan winhex
dalamprogram buatan mereka.4.24 Data recovery Bisa digunakan pada semua file sistem
dan bisa memperbaiki beberapa jenis file padasatu waktu seperti file jpg, png, gif,
tif, bmp, dwg, psd, rtf, xml, html, eml, dbx, xls/doc, mdb,wpd, eps/ps, pdf, qdf,
pwl, zip, rar, wav, avi, ram, rm, mpg, mpg, mov, asf, mid.4.25 Komputer examination
/ forensiks Winhex adalah sebuah alat atau software yang sangat berharga bagi
seorang spesialisinvestigasi komputer di sebuah perusahaan pribadi dan untuk
penegakkan hukum.4.26 Trusted download Dengan winhex apa yang kita download akan
lebih aman dan dapat dipercayakebersihannya dari hal-hal yang dapat mengganggu
komputer kita4.27 128-bit encryption Dengan winhex kita bisa membuat file kita
tidak bisa dibaca oleh orang lain.4.28 Checksum/digest calculationUntuk memastikan
file yang ada tidak ada yang rusak dan tidak terubah, atau untuk mengenalifile-file
yang dikenal.4.29 Generating pseudo-random data Digunakan untuk beberapa tujuan
seperti simulasi ilmiah.
29. DAFTAR PUSTAKAhttp://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-
program-hex-
editorhttp://www.forensicswiki.org/wiki/File_Format_Identificationhttp://en.wikiped
ia.org/wiki/File_carvinghttp://en.wikipedia.org/wiki/Disk_Copyhttp://id.wikipedia.o
rg/wiki/Metadatahttp://id.shvoong.com/internet-and-technologies/1679555-
file/#ixzz1b6bAuIqdhttp://asyafaat.files.wordpress.com/2009/01/forensik_0-_-
90_1s.pdfhttp://romanistielf.wordpress.com/2011/10/26/disk-
forensik/http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-
editorhttp://www.forensicswiki.org/wiki/File_Format_Identificationhttp://en.wikiped
ia.org/wiki/File_carvinghttp://en.wikipedia.org/wiki/Disk_Copyhttp://id.wikipedia.o
rg/wiki/Metadatahttp://id.shvoong.com/internet-and-technologies/1679555-
file/#ixzz1b6bAuIqdhttp://asyafaat.files.wordpress.com/2009/01/forensik_0-_-
90_1s.pdf