“ Disk Forensik ”
Beberapa kasus yang dapat dilakukan dengan bantuan ilmu Disk Forensik antara lain
mengembalikan file yang terhapus, mendapatkan password, mengubah partisi harddisk, mencari
jejak badsector, menganalisis File Akses dan System atau Aplikasi Logs, dan sebagainya.
Tentunya untuk mendapatkan semua informasi tersebut, diperlukan sejumlah software,
seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernah
digunakan oleh FBI (Federal Bureau Investigation) dalam kasus Zacarias Moussaoui, dan
JaguarForensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa feature menarik,
seperti generator report untuk memenuhi kebutuhan komputer forensik.
Menganalisa dan memanfaatkan system logs dan log software aplikasi (misalnya:
monitoring akses file di jaringan atau penggunaan software aplikas dan utility). Dengan
demikian aktivitas pengguna dapat dilacak
Mengenal Metadata pada Dokumen
Tool yang digunakan mampu menduplikasi atau mengclone secara bitstream untuk
seluruh barang bukti (storage devices)yang ada
Tidak mengubah barang bukti
Mampu untuk mengakses IDE dan SCSI disk
Mampu untuk memperifikasi integritas dari sebuah image file
Mencatat seluruh (I/O) erros
File System adalah metode untuk menyimpan dan mengatur file-file dan data yang
tersimpan di dalamnya untuk membuatnya mudah ditemukan dan diakses. File System dapat
menggunakan media penyimpan data seperti HardDisk atau CD Rom. File System juga dapat
melibatkan perawatan lokasi fisik file, juga memberikan akses ke data pada file server dengan
berlaku sebagai klien untuk protokol jaringan, atau dapat juga berlaku sebagai file system virtual
dan hanya ada sebagai metode akses untuk data virtual. Lebih umum lagi, file system merupakan
database khusus untuk penyimpanan, pengelolaan, manipulasi dan pengambilan data
Dalam File System, terdapat berbagai jenis-jenisnya dan penggunaan algoritma yang
berbeda. Semakin baru jenis dari sebuah File System, maka semakin bagus pula kualitas dari File
System tersebut. Semua sistem operasi mulai dari DOS, Windows, Macintosh dan turunan UNIX
memiliki Sistem berkas sendiri untuk meletakkan file dalam sebuah struktur hirarki.
Contoh dari sistem berkas/File System: FAT, NTFS, HFS dan HFS+, EXT2, EXT3, ISO
9660, ODS-5, dan UDF. Beberapa sistem berkas antara lain juga journaling file system atau
versioning file system, Sistem berkas juga menentukan konvensi penamaan berkas dan peletakan
berkas pada stuktur direktori.
NTFS (New Technology File System)di kenalkan pertama pada Windows NT dan
merupakan file system yang sangat berbeda di banding teknologi FAT. NTFS atau New
Technology File System1, merupakan sebuah sistem berkas yang dibekalkan oleh
Microsoft dalam keluarga sistem operasi Windows NT, yang terdiri dari Windows NT
3.x (NT 3.1, NT 3.50, NT 3.51), Windows NT 4.x (NT 4.0 dengan semua service pack),
Windows NT 5.x (Windows 2000, Windows XP, dan Windows Server 2003), serta
Windows NT 6.x (Windows Vista, Windows 7). NTFS bekerja berdasarkan prinsip
BTree dan menggunakan Full Indexing. Karena itu pula fragmentation dapat ditekan
seminimal mungkin. Kemudian, setiap file pada NTFS memiliki checksum, yang
memungkinkan file tersebut diperbaiki secara sempurna bila suatu saat NTFS tersebut
bermasalah.
Pemrosesan transaksi memperkenalkan jaminan bahwa pada tiap point ketika transaksi
berlangsung, sebuah transaksi dapat disudahi secara tuntas atau diulang sepenuhnya. Hal ini
berarti jika terjadi crash atau kegagalan power, setelah recovery, kondisi yang disimpan akan
tetap. File System journaling adalah salah satu teknik yang digunakan untuk mengenalkan
konsistensi level-transaksi ke dalam struktur file system.
Metadata
Fungsi Metadata
Membuat sumberdaya bisa ditemukan dengan menggunakan kriteria yang relevan
mengidentifikasi sumberdaya mengelompokkan sumberdaya yang serupa membedakan
sumberdaya yang tak miliki kesamaan memberikan informasi lokasi.
Jenis-jenis Metadata
Terdapat tiga jenis utama metadata:
Metadata deskriptif menggambarkan suatu sumberdaya dalam maksud seperti penemuan
dan identifikasi. Dia bisa meliputi elemen semisal judul, abstrak, pengarang, dan kata
kunci.
Metadata struktural menunjukkan bagaimana kumpulan obyek disusun secara bersama-
sama menjadi satu, semisal bagaimana halaman-halaman ditata untuk membentuk suatu
bab.
Metadata administratif menyediakan informasi untuk membantu mengelola sumberdaya,
semisal terkait kapan dan bagaimana suatu informasi diciptakan, tipe dokumen dan
informasi teknis lainnya, serta siapa yang bisa mengaksesnya.
Data Recovery
Data recovery merupakan bagian dari analisa forensik di mana hal ini merupakan
komponen penting di dalam mengetahui apa yang telah terjadi, rekaman data, korespondensi,
dan petunjuk lannya. Banyak orang tidak menggunakan informasi yang berasal dari data
recovery karena dianggap tidak murni/asli/orisinil.
Setiap sistem operasi bekerja dalam arah yang unik, berbeda satu sama lain (walaupun
berplatform sistem operasi yang sama). Untuk melihat seberapa jauh data sudah dihapus atau
belum, perlu memperhatikan segala sesuatu yang ada dalam raw disk. Jika data yang digunakan
untuk kejahatan ternyata masih ada, maka cara yang termudah adalah menguji data dengan
pemanfaatan tool yang ada pada standar UNIX, seperti strings, grep, text pagers, dan sebagainya.
Sayangnya, tools yang ada tidak menunjukkan data tersebut dialokasikan di mana.
Contohnya: intruder menghapus seluruh system log files (dimulai dari bulan, hari, dan waktu)
dari minggu pertama Januari, seharusnya ditulis untuk melihat syslog tersebut: Melalui
investigasi dari sistem yang dirusak oleh intruder, sistem files UNIX yang modern tidak
menyebar contents dari suatu file secara acak dalam disk. Sebagai gantinya, sistem files dapat
mencegah fragmentasi file, meskipun setelah digunakan beberapa tahun.
File content dengan sedikit fragmentasi akan lebih mudah untuk proses recover dari pada
file content yang menyebar dalam disk (media penyimpanan). Tetapi sistem file yang baik
File Identification
Format file Identifikasi adalah proses mencari tahu format dari urutan byte. Sistem
operasi biasanya melakukan hal ini dengan ekstensi file atau informasi tertanam MIME. Aplikasi
forensik perlu mengidentifikasi jenis file dengan konten Tools Libmagic Ditulis dalam C
File Carving
File carving adalah proses menyusun kembali file-file komputer dari fragmen dalam
ketiadaan metadata filesystem. Proses ukiran ini memanfaatkan pengetahuan tentang struktur file
yang umum, informasi yang terkandung dalam file, dan heuristik tentang bagaimana data
filesystem fragmen. Untuk menggabungkan ketiga sumber informasi, file carving menyimpulkan
sistem yang fragmen agar bersama.
Garfinkel melaporkan statistik fragmentasi dikumpulkan dari lebih 350 disk yang
mengandung FAT, NTFS dan sistem file UFS. Dia menunjukkan bahwa sementara fragmentasi
dalam disk khas adalah rendah, tingkat fragmentasi file forensik penting seperti email, JPEG dan
MS-Word relatif tinggi. Tingkat fragmentasi file JPEG ditemukan 16%, MS-Word dokumen
telah fragmentasi 17%, AVI (format film) memiliki tingkat fragmentasi 22% dan PST file (MS-
Outlook) memiliki tingkat fragmentasi 58%. Pal, Shanmugasundaram, dan Memon disajikan
algoritma yang efisien didasarkan pada heuristik serakah dan pemangkasan alpha-beta untuk
pemasangan kembali gambar terfragmentasi. Pal, Sencar, dan Memon diperkenalkan pengujian
hipotesis sekuensial sebagai mekanisme yang efektif untuk mendeteksi titik fragmentasi. Richard
dan Roussev menyajikan pisau bedah (Scalpel), open-source file alat bantu carving.
http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editor
http://www.forensicswiki.org/wiki/File_Format_Identification
http://en.wikipedia.org/wiki/File_carving http://en.wikipedia.org/wiki/Disk_Copy
http://id.wikipedia.org/wiki/Metadata http://id.shvoong.com/internet-and-technologies/1679555-
file/#ixzz1b6bAuIqd http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf
http://romanistielf.wordpress.com/2011/10/26/disk-forensik/
http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editor
http://www.forensicswiki.org/wiki/File_Format_Identification
http://en.wikipedia.org/wiki/File_carving http://en.wikipedia.org/wiki/Disk_Copy
http://id.wikipedia.org/wiki/Metadata http://id.shvoong.com/internet-and-technologies/1679555-
file/#ixzz1b6bAuIqd http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf
http://soraya-pu3.blogspot.co.id/2011/10/file-carving-file-identification.html
http://masyhurimahbub.blogspot.co.id/2014/10/disk-forensik.html