PENGANTAR FORENSIK TEKNOLOGI INFORMASI

“ Disk Forensik ”

Oleh : Farhat, ST, MMSI, MSc

{ Diolah dari berbagai Sumber }

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 DISK FORENSIK

Beberapa kasus yang dapat dilakukan dengan bantuan ilmu Disk Forensik antara lain
mengembalikan file yang terhapus, mendapatkan password, mengubah partisi harddisk, mencari
jejak badsector, menganalisis File Akses dan System atau Aplikasi Logs, dan sebagainya.
Tentunya untuk mendapatkan semua informasi tersebut, diperlukan sejumlah software,
seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernah
digunakan oleh FBI (Federal Bureau Investigation) dalam kasus Zacarias Moussaoui, dan
JaguarForensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa feature menarik,
seperti generator report untuk memenuhi kebutuhan komputer forensik.

Kemampuan dalam Disk forensik:

 Me-recover file-file yang terhapus, mendapatkan password dan kunci cryptographic

 Menganalisa akses file, perihal memodifikasi dan menciptakan file

 Menganalisa dan memanfaatkan system logs dan log software aplikasi (misalnya:
monitoring akses file di jaringan atau penggunaan software aplikas dan utility). Dengan
demikian aktivitas pengguna dapat dilacak
 Mengenal Metadata pada Dokumen

 Menangani dokumen forensik akan berurusan dengan dokumen.

Standar Tools Analisa Disk Forensik berdasarkan NIST:

 Tool yang digunakan mampu menduplikasi atau mengclone secara bitstream untuk
seluruh barang bukti (storage devices)yang ada
 Tidak mengubah barang bukti
 Mampu untuk mengakses IDE dan SCSI disk
 Mampu untuk memperifikasi integritas dari sebuah image file
 Mencatat seluruh (I/O) erros

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
File System

File System adalah metode untuk menyimpan dan mengatur file-file dan data yang
tersimpan di dalamnya untuk membuatnya mudah ditemukan dan diakses. File System dapat
menggunakan media penyimpan data seperti HardDisk atau CD Rom. File System juga dapat
melibatkan perawatan lokasi fisik file, juga memberikan akses ke data pada file server dengan
berlaku sebagai klien untuk protokol jaringan, atau dapat juga berlaku sebagai file system virtual
dan hanya ada sebagai metode akses untuk data virtual. Lebih umum lagi, file system merupakan
database khusus untuk penyimpanan, pengelolaan, manipulasi dan pengambilan data

Dalam File System, terdapat berbagai jenis-jenisnya dan penggunaan algoritma yang
berbeda. Semakin baru jenis dari sebuah File System, maka semakin bagus pula kualitas dari File
System tersebut. Semua sistem operasi mulai dari DOS, Windows, Macintosh dan turunan UNIX
memiliki Sistem berkas sendiri untuk meletakkan file dalam sebuah struktur hirarki.

Contoh dari sistem berkas/File System: FAT, NTFS, HFS dan HFS+, EXT2, EXT3, ISO
9660, ODS-5, dan UDF. Beberapa sistem berkas antara lain juga journaling file system atau
versioning file system, Sistem berkas juga menentukan konvensi penamaan berkas dan peletakan
berkas pada stuktur direktori.

Tipe-tipe File System:

1. File System Windows

 FAT16(File Allocation Table) dikenalkan oleh MS-DOS pada tahun 1981. Awalnya,
Sistem ini di design untuk mengatur file di floopy drive dan mengalami beberapa kali
perubahan sehingga digunakan untuk mengatur file di harddisk. FAT16 adalah sistem
berkas yang menggunakan unit alokasi yang memiliki batas hingga 16-bit, sehingga dapat
menyimpan hingga 216 unit alokasi (65536 buah). Sistem berkas ini memiliki batas
kapasitas hingga ukuran 4 Gigabyte saja. Ukuran unit alokasi yang digunakan oleh
FAT16 bergantung pada kapasitas partisi yang akan hendak diformat.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
  FAT32 mulai di kenal pada tahun 1976 dan digunakan pada sistem operasi Windows 95
SP2, dan merupakan pengembangan lanjutan dari FAT16. Karena menggunakan tabel
alokasi berkas yang besar (32-bit), FAT32 secara teoritis mampu mengalamati hingga
232 unit alokasi (4294967296 buah). Meskipun demikian, dalam implementasinya,
jumlah unit alokasi yang dapat dialamati oleh FAT32 adalah 228 (268435456 buah).

 NTFS (New Technology File System)di kenalkan pertama pada Windows NT dan
merupakan file system yang sangat berbeda di banding teknologi FAT. NTFS atau New
Technology File System1, merupakan sebuah sistem berkas yang dibekalkan oleh
Microsoft dalam keluarga sistem operasi Windows NT, yang terdiri dari Windows NT
3.x (NT 3.1, NT 3.50, NT 3.51), Windows NT 4.x (NT 4.0 dengan semua service pack),
Windows NT 5.x (Windows 2000, Windows XP, dan Windows Server 2003), serta
Windows NT 6.x (Windows Vista, Windows 7). NTFS bekerja berdasarkan prinsip
BTree dan menggunakan Full Indexing. Karena itu pula fragmentation dapat ditekan
seminimal mungkin. Kemudian, setiap file pada NTFS memiliki checksum, yang
memungkinkan file tersebut diperbaiki secara sempurna bila suatu saat NTFS tersebut
bermasalah.

2. File System LINUX

 EXT2 merupakan jenis file system yang ampuh di sistem operasi linux. EXT2 juga
merupakan salah satu file system yang paling ampuh dan menjadi dasar dari segala
distribusi linux. Pada EXT 2 file system, file data disimpan sebagai data blok. Data blok
ini mempunyai panjang yang sama dan meskipun panjangnya bervariasi diantara EXT2
file system, besar blok tersebut ditentukan pada saat file system dibuat dengan perintah
mk2fs.
 EXT3 merupakan peningkatan dari EXT2 file system dan EXT3 merupakan
pengembangan dari EXT2.
 EXT4 File system EXT4 yang biasa digunakan linux merupakan file system ke empat
yang dikembangkan sebagai penerus EXT3.
 JFS (Journal File System) adalah 64-bit file system journal yang dibuat oleh IBM . Ini
tersedia sebagai perangkat lunak bebas di bawah ketentuan GNU General Public License

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 (GPL). JFS adalah system file journaling, JFS memiliki kemampuan yang cepat dan
handal, dengan kinerja yang baik secara konsisten dalam berbagai jenis beban,
bertentangan dengan file system lain yang tampak nya lebih baik dalam pola penggunaan
khusus, misalnya dengan file kecil atau besar.
 Reiser FS Dirancang oleh Hans Reiser dan diperkenalkan dalam versi 2.4.1 dari kernel
Linux, merupakan sistem file pertama journal untuk disertakan di kernel standar.
ReiserFS adalah file default sistem di Yoper Elive, Xandros, Linspire, GoboLinux, dan
distribusi Linux.

3. File System Flash

Sebuah file system Flash adalah file system yang didesain untuk menyimpan data pada
media flash memory. Hal ini menjadi lazim ketika jumlah perangkat mobile semakin banyak dan
kapasitas memory flash yang semakin besar.
Block device layer dapat mensimulasikan sebuah disk drive agar file system disk dapat
digunakan pada flash memory, tapi hal ini kurang optimal untuk beberapa alasan. Menghapus
blok. Blok Flash memory harus dihapus sebelum dapat ditulis. Waktu yang dibutuhkan untuk
menghapus sebuah blok bisa jadi signifikan, dan hal ini juga bermanfaat untuk menghapus blok
yang tidak dipakai saat media dalam keadaan idle. Random Access. file system Disk
ditingkatkan untuk mencegah pencarian disk, Flash memory tidak membebankan proses
pencarian sama sekali . Level pemakaian: media memori flash cenderung mudah rusak ketika
satu blok tunggal di-overwrite secara berulang; file system flash didesian untuk me-write secara
merata.

4. File System Database

Konsep baru untuk manajemen file adalah konsep file system berbasis database. Sebagai
perbaikan bagi Manajemen terstruktur hirarkis, file diidentifikasi oleh karakteristiknya, seperti
tipe file, topik, pembuat atau metadata yang sama.

5. File Sistem Transaksional

Setiap operasi disk dapat melibatkan perubahan ke sejumlah file dan struktur disk yang
berbeda. Dalam banyak kasus, perubahan ini berhubungan. Hali in iberarti bahwa operasi ini
dieksekusi pada waktu yang sama.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
Contoh: ketika sebuah Bank mengirimkan uang ke Bank lain secara elektronik. Komputer Bank
akan mengirim perintah transfer ke Bank lain dan meng-update record-nya untuk menunjukkan
bahwa telah terjadi transaksi. Jika untuk beberapa alasan terjadi crash antar komputer sebelum
komputer berhasil mengupdate record-nya sendiri, maka tidak akan ada tidak akan ada record
transfer tapi Bank akan kehilangan uangnya.

Pemrosesan transaksi memperkenalkan jaminan bahwa pada tiap point ketika transaksi
berlangsung, sebuah transaksi dapat disudahi secara tuntas atau diulang sepenuhnya. Hal ini
berarti jika terjadi crash atau kegagalan power, setelah recovery, kondisi yang disimpan akan
tetap. File System journaling adalah salah satu teknik yang digunakan untuk mengenalkan
konsistensi level-transaksi ke dalam struktur file system.

6. File System Jaringan

File System Network adalah file system yang bertindak sebagai klien untuk protokol
akses file jarak jauh, memberikan akses ke file pada sebuah server.
Contoh: klien protocol NFS, AFS, SMB, dan klien FTP dan WebDAV.

7. File System untuk Tujuan khusus

File System untuk tujuan khusus adalah file system yang tidak termasuk disk file system
atau file system Jaringan. Termasuk dalam kategori ini adalah sistem di mana file ditata secara
dinamis oleh software, ditujukan untuk tujuan tertentu seperti untuk komunikasi antar proses
komputer atau space file sementara.
File system untuk tujuan khusus sangat banyak dipakai oleh OS yang berpusat pada file
seperti UNIX.
Contoh: file system ini adalah file system procfs (/proc) yang dipakai oleh beberapa varian
Unix, yang memberikan akses ke informasi mengenai proses dan fitur-fitur dari OS.

Metadata

Metadata adalah informasi terstruktur yang mendeskripsikan, menjelaskan, menemukan,

atau setidaknya membuat menjadikan suatu informasi mudah untuk ditemukan kembali,
digunakan, atau dikelola. Metadata sering disebut sebagai data tentang data atau informasi

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
tentang informasi.Metadata ini mengandung informasi mengenai isi dari suatu data yang dipakai
untuk keperluan manajemen file/data itu nantinya dalam suatu basis data. Jika data tersebut
dalam bentuk teks, metadatanya biasanya berupa keterangan mengenai nama ruas (field),
panjang field, dan tipe fieldnya: integer, character, date, dll.

Fungsi Metadata
Membuat sumberdaya bisa ditemukan dengan menggunakan kriteria yang relevan
mengidentifikasi sumberdaya mengelompokkan sumberdaya yang serupa membedakan
sumberdaya yang tak miliki kesamaan memberikan informasi lokasi.

Jenis-jenis Metadata
Terdapat tiga jenis utama metadata:
 Metadata deskriptif menggambarkan suatu sumberdaya dalam maksud seperti penemuan
dan identifikasi. Dia bisa meliputi elemen semisal judul, abstrak, pengarang, dan kata
kunci.
 Metadata struktural menunjukkan bagaimana kumpulan obyek disusun secara bersama-
sama menjadi satu, semisal bagaimana halaman-halaman ditata untuk membentuk suatu
bab.
 Metadata administratif menyediakan informasi untuk membantu mengelola sumberdaya,
semisal terkait kapan dan bagaimana suatu informasi diciptakan, tipe dokumen dan
informasi teknis lainnya, serta siapa yang bisa mengaksesnya.

Contoh Umum dari Jenis Data Dalam Disk Forensik System:

a. Data gambar (image): siapa pemotretnya, kapan pemotretannya, dan setting kamera pada
saat dilakukan pemotretan.
b. Text file
c. Multimedia File, contohnya *.mp3,*.mp4,*.wav, *.mpeg, *.avi
d. Log File, contohnya: *.log, *.snort, *.dll
e. Saat mencari buku diperpustakaan, cukup dengan katalog. Sebuah deretan kertas kecil
yang berisi judul buku, pengarang, penerbit dan informasi kecil lainnya yang cukup
berarti yang disusun struktural.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
Disk Copy
Diskcopy merupakan tool forensik dengan dasar program MS-DOS yang dipergunakan
oleh ahli forensik agar dapat bekerja dengan baik dan tidak mengubah data. Diskcopy juga
merupakan Tool kit yang memungkinkan untuk mengumpulkan dan analisis data. Karena ahli
hukum percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah
“preserve then examine”.
Disk copy sangat diperlukan untuk melakukan eksplorasi suatu media dan menemukan
data yang relevan. Juga agar dapat melihat dan mengelola semua bukti pada hardisk.

Data Recovery
Data recovery merupakan bagian dari analisa forensik di mana hal ini merupakan
komponen penting di dalam mengetahui apa yang telah terjadi, rekaman data, korespondensi,
dan petunjuk lannya. Banyak orang tidak menggunakan informasi yang berasal dari data
recovery karena dianggap tidak murni/asli/orisinil.

Setiap sistem operasi bekerja dalam arah yang unik, berbeda satu sama lain (walaupun
berplatform sistem operasi yang sama). Untuk melihat seberapa jauh data sudah dihapus atau
belum, perlu memperhatikan segala sesuatu yang ada dalam raw disk. Jika data yang digunakan
untuk kejahatan ternyata masih ada, maka cara yang termudah adalah menguji data dengan
pemanfaatan tool yang ada pada standar UNIX, seperti strings, grep, text pagers, dan sebagainya.
Sayangnya, tools yang ada tidak menunjukkan data tersebut dialokasikan di mana.

Contohnya: intruder menghapus seluruh system log files (dimulai dari bulan, hari, dan waktu)
dari minggu pertama Januari, seharusnya ditulis untuk melihat syslog tersebut: Melalui
investigasi dari sistem yang dirusak oleh intruder, sistem files UNIX yang modern tidak
menyebar contents dari suatu file secara acak dalam disk. Sebagai gantinya, sistem files dapat
mencegah fragmentasi file, meskipun setelah digunakan beberapa tahun.

File content dengan sedikit fragmentasi akan lebih mudah untuk proses recover dari pada
file content yang menyebar dalam disk (media penyimpanan). Tetapi sistem file yang baik

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
memiliki beberapa keuntungan lain, salah satunya mampu untuk menghapus informasi untuk
bertahan lebih lama dari yang diharapkan.
Dalam kasus Linux, sistem file extension tidak akan menghapus lokasi dari urutan pertama 12
blok data yang tersimpan dalam inode jika file sudah dipindah/dihapus. Hal ini berarti
menghapus data dapat dikembalikan langsung dengan menggunakan icat dalam inode yang
terwakilkan. Seperti metode data recovery lainnya, tidak akan menjamin jika data tetap ada di
tempat semula. Jika file dihapus dalam sistem operasi Linux, inode’s time akan terupdate.
Dengan menggunakan informasi tersebut, data dapat dikembalikan dari 20 inode pada sistem file
yang dihapus.

File Identification
Format file Identifikasi adalah proses mencari tahu format dari urutan byte. Sistem
operasi biasanya melakukan hal ini dengan ekstensi file atau informasi tertanam MIME. Aplikasi
forensik perlu mengidentifikasi jenis file dengan konten Tools Libmagic Ditulis dalam C

Identifikasi dalam bukti digital (Identification/Collecting Digital Evidence) Merupakan

tahapan paling awal dalam teknologi informasi. Pada tahapan ini dilakukan identifikasi dimana
bukti itu berada, dimana bukti itu disimpan, dan bagaimana penyimpanannya untuk
mempermudah penyelidikan. Network Administratormerupakan sosok pertama yang umumnya
mengetahui keberadaan cybercrime, atau Tim Respon cybercrime (jika perusahaan memilikinya)
sebelum sebuah kasus cybercrimediusut oleh cyberpolice. Ketika cyberpolice telah dilibatkan
dalam sebuah kasus, maka juga akan melibatkan elemen-elemen vital yang lainnya, antara lain:

File Carving
File carving adalah proses menyusun kembali file-file komputer dari fragmen dalam
ketiadaan metadata filesystem. Proses ukiran ini memanfaatkan pengetahuan tentang struktur file
yang umum, informasi yang terkandung dalam file, dan heuristik tentang bagaimana data
filesystem fragmen. Untuk menggabungkan ketiga sumber informasi, file carving menyimpulkan
sistem yang fragmen agar bersama.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 File carving memiliki tugas yang sangat kompleks, dengan sejumlah permutasi
berpotensi besar untuk mencoba. Untuk membuat tugas ini berurutan, perangkat lunak carving
biasanya membuat ekstensif menggunakan model dan heuristik. Hal ini diperlukan tidak hanya
dari sudut pandang waktu eksekusi, tetapi juga untuk keakuratan hasil. Keadaan algoritma file
carving yang menggunakan teknik statistik seperti pengujian hipotesis sekuensial untuk
menentukan titik fragmentasi.

Garfinkel melaporkan statistik fragmentasi dikumpulkan dari lebih 350 disk yang
mengandung FAT, NTFS dan sistem file UFS. Dia menunjukkan bahwa sementara fragmentasi
dalam disk khas adalah rendah, tingkat fragmentasi file forensik penting seperti email, JPEG dan
MS-Word relatif tinggi. Tingkat fragmentasi file JPEG ditemukan 16%, MS-Word dokumen
telah fragmentasi 17%, AVI (format film) memiliki tingkat fragmentasi 22% dan PST file (MS-
Outlook) memiliki tingkat fragmentasi 58%. Pal, Shanmugasundaram, dan Memon disajikan
algoritma yang efisien didasarkan pada heuristik serakah dan pemangkasan alpha-beta untuk
pemasangan kembali gambar terfragmentasi. Pal, Sencar, dan Memon diperkenalkan pengujian
hipotesis sekuensial sebagai mekanisme yang efektif untuk mendeteksi titik fragmentasi. Richard
dan Roussev menyajikan pisau bedah (Scalpel), open-source file alat bantu carving.

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma
 DAFTAR PUSTAKA

http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editor
http://www.forensicswiki.org/wiki/File_Format_Identification
http://en.wikipedia.org/wiki/File_carving http://en.wikipedia.org/wiki/Disk_Copy
http://id.wikipedia.org/wiki/Metadata http://id.shvoong.com/internet-and-technologies/1679555-
file/#ixzz1b6bAuIqd http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf
http://romanistielf.wordpress.com/2011/10/26/disk-forensik/
http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editor
http://www.forensicswiki.org/wiki/File_Format_Identification
http://en.wikipedia.org/wiki/File_carving http://en.wikipedia.org/wiki/Disk_Copy
http://id.wikipedia.org/wiki/Metadata http://id.shvoong.com/internet-and-technologies/1679555-
file/#ixzz1b6bAuIqd http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf
http://soraya-pu3.blogspot.co.id/2011/10/file-carving-file-identification.html
http://masyhurimahbub.blogspot.co.id/2014/10/disk-forensik.html

Farhat, ST., MMSI., MSc

PENGANTAR FORENSIK TEKNOLOGI INFORMASI
Universitas Gunadarma