DISK

FORENSIK
Sub Bab
📌 FILE SYSTEM

📌 METADATA

📌 FILE CARVING

📌 FILE IDENTIFICATION

📌 WINHEX

.
2
 Disk Forensik merupakan bagian dari Komputer Forensik.

■ Beberapa kasus yang dapat dilakukan dengan bantuan ilmu

Disk Forensik antara lain mengembalikan file yang terhapus,
mendapatkan password, mengubah partisi harddisk, mencari
jejak badsector, menganalisis File Akses dan System atau
Aplikasi Logs, dan sebagainya.

■ Software:
• EnCase, yang dikembangkan oleh Guidance Software
Pasadena
• Linux DD yang pernah digunakan oleh FBI (Federal Bureau
Investigation)
• JaguarForensics Toolkit, yaitu sebuah tool yang diperkaya
dengan beberapa feature menarik, seperti generator report
untuk memenuhi kebutuhan komputer forensik.
3
 1
File System
 FILE SYSTEM .

Pengertian
File System merupakan struktur logika yang
digunakan untuk mengendalikan akses terhadap
data yang ada pada disk.

File system menyediakan mekanisme untuk

penyimpanan data dan program yang dimiliki oleh
sistem operasi serta seluruh pengguna dari sistem
komputer.

5
 FILE SYSTEM

File system terdiri dari dua bagian

1. Kumpulan file yang masing-masing menyimpan

.
data-data yang berhubungan
2. Struktur direktori yang mengorganisasi dan
menyediakan informasi mengenai seluruh file dalam
sistem
.

6
 FILE SYSTEM

Jenis – Jenis File System :

1. FAT (File Allocation Table)

Sebuah sistem berkas yang menggunakan struktur
tabel alokasi berkas sebagai cara beroperasinya.

Jenis-jenis sistem file FAT:

• FAT 12
• FAT 16
• FAT 32

7
 Tabel perbedaan FAT 12/FAT 16/FAT 32

8
 FILE SYSTEM

Jenis – Jenis File System

2. NTFS (New Technology File System)

Pengembangan yang dilakukan oleh Microsoft untuk
memperbaiki kekurangan yang dimiliki sistem file FAT.
NTFS memiliki banyak fitur-fitur yang dibutuhkan didalam
proses pendistribusian data seperti access control,
penerapan seberapa banyak kuota yang digunakan dalam
kapasitas harddisk, toleransi pada kesalahan, serta fitur
enkripsi.

9
 FILE SYSTEM

Jenis – Jenis File System

3. EXT2 (Second Extented File System)

File sistem yang ampuh di linux. Pada EXT2 file sistem,
file data disimpan sebagai data blok.

Tujuannya adalah untuk membuat suatu file system

yang powerful, yang dapat mengimplementasikan file-
file semantik dari UNIX dan mempunyai pelayanan
advance features.

10
 FILE SYSTEM

Jenis – Jenis File System

4. EXT3 (Third Extended File System)

EXT3 merupakan hasil perbaikan dari EXT2 ke dalam
bentuk EXT2 yang lebih baik dengan menambahkan
berbagai macam keunggulan.

Kelebihan EXT3:
• Optimasi waktu pengecekan jika terjadi kegagalan
sumber daya, kerusakan sisem atau unclean shutdown.
• Integritas data dan kecepatan akses yang fleksibel

11
 2
Metadata
 METADATA

Pengertian

Metadata adalah informasi yang terstruktur yang

menggambarkan, menjelaskan, menempatkan, atau
membuat lebih mudah untuk mengambil, menggunakan,
atau mengelola sebuah sumber informasi.

Metadata ini mengandung informasi mengenai isi dari

suatu data yang dipakai untuk keperluan manajemen file
atau data itu nantinya dalam suatu basis data.
Dokumen metadata berisikan informasi yang menjelaskan
karakteristik data terutama isi, kwalitas, kondisi dan cara
perolehannya.

13
 METADATA

Contoh Metadata

• Sebuah gambar memiliki metadata yang

menginformasikan seberapa besar ukuran file
gambar, kedalaman warnanya, resolusinya, kapan
dibuat, dan sebagainya.
• Metadata sebuah dokumen teks berisi informasi
tentang seberapa panjang dokumen tersebut,
siapa yang membuat, kapan ditulis, dan ringkasan
isinya

14
 METADATA

15
 METADATA

Beberapa karakteristik metadata yang ditampilkan

dalam sistem ini yaitu dibagi dalam 3 kategori:

• Metadata General, yaitu lokasi file, nama file, type

file, owner dan computer.
• Metadata Detail, yaitu creationTime,
lastAccessTime, lastModifiedTime, isDirectory,
isOther, isRegularFile, isSymbolicLink dan Size.
• Metadata Checksum, yaitu Nilai MD5 dan SHA-
256.

16
 3
File Carving
 FILE CARVING

Pengertian
File Carving merupakan praktek mencari masukan untuk file
atau jenis lain dari objek berdasarkan pada isi, bukan pada
metadata.

Dengan kata lain, file carving merupakan alat yang ampuh untuk
memulihkan file dan fragmen dari file saat entri direktori yang korup
atau hilang, yang mungkin terjadi dengan file lama yang telah
dihapus atau ketika melakukan analisis pada media yang rusak.

18
 FILE CARVING

Fragmented File Recovery

Simson Garfinkel memperkirakan bahwa 58% upto
pandangan, 17% dari JPEG dan 16% dari MS-Word file
terfragmentasi, karenanya, muncul rusak atau hilang ke
pengguna menggunakan data tradisional ukiran. Set
pertama dari file program ukiran yang dapat menangani
file terfragmentasi secara otomatis memiliki akhirnya tiba.
A. Pal, N. Memon. T. Sencar dan K. Shanmugasundaram
telah memperkenalkan teknik yang disebut SmartCarving
yang dapat memulihkan file terfragmentasi.

19
 FILE CARVING

Smart Carving
Pal mengembangkan skema ukiran yang tidak terbatas pada file
bifragmented. Teknik, yang dikenal sebagai SmartCarving, memanfaatkan
heuristik mengenai perilaku fragmentasi filesystem yang dikenal.

Algoritma ini memiliki tiga fase:

■ Preprocessing > blok didekompresi dan / atau didekripsi jika diperlukan

■ Pemeriksaan > blok diurutkan menurut tipe file mereka

■ Reassembly > blok ditempatkan di urutan ke mereproduksi file yang dihapus

Algoritma SmartCarving adalah dasar untuk Forensik Foto gesit dan aplikasi Foto
Pemulihan gesit dari Majelis Digital.
20
 FILE CARVING

File Carving Taxonomy

1. Carving 7. Stuktur File Berdasarkan Carving

2. Blok Berbasis Carving 8. Semantic Carving
3. Statistik Carving 9. Carving Dengan Validasi
4. Header/Footer Carving 10. Fragmen Pemulihan Carving
5. Header/Maksimum (file) 11. Repackaging Carving
Ukuran Carving
6. Header/Carving Panjang
Tertanam

21
 4
File Identification
 FILE IDENTIFICATION

Pengertian
Format file Identifikasi adalah proses mencari tahu
format dari urutan byte. Sistem operasi biasanya
melakukan hal ini dengan ekstensi file atau informasi
tertanam MIME.
Contoh Tools File Identification :
Libmagic : * Ditulis dalam C
* Rules in /usr/share/file/magic and compiled at runtime.
* Powers Unix "file" perintah, tetapi Anda juga dapat menghubungi
perpustakaan langsung dari program C.

23
 FILE IDENTIFICATION

Identifikasi dalam bukti digital (Identification/Collecting

Digital Evidence)
■ Merupakan tahapan paling awal dalam teknologi
informasi. Pada tahapan ini dilakukan identifikasi dimana
bukti itu berada, dimana bukti itu disimpan, dan
bagaimana penyimpanannya untuk mempermudah
penyelidikan

Network Administrator merupakan sosok pertama yang umumnya mengetahui

keberadaan cybercrime, atau Tim Respon cybercrime (jika perusahaan
memilikinya) sebelum sebuah kasus cybercrime diusut oleh cyberpolice.

24
FILE
FILE IDENTIFICATION
IDENTIFICATION

Ketika cyberpolice telah dilibatkan dalam sebuah kasus, maka juga

akan melibatkan elemen-elemen vital yang lainnya, antara lain:

■ Petugas Keamanan (Officer as a First Responder), Memiliki tugas-

tugas yakni: Mengidentifikasi Peristiwa, Mengamankan Bukti dan
Pemeliharaan bukti yang temporer dan Rawan Kerusakan.

■ Penelaah Bukti (Investigator), Memiliki Tugas-tugas yakni: Menetapkan

instruksi-instruksi sebagai sosok paling berwenang, Melakukan
pengusutan peristiwa kejahatan, Pemeliharaan integritas bukti.

■ Teknisi Khusus, Memiliki tugas-tugas (dihindari terjadi overlaping job

dengan Investigator), yakni: Pemeliharaan bukti yang rentan kerusakan
dan menyalin storage bukti, Mematikan(shuting down) sistem yang
sedang berjalan, Membungkus / memproteksi bukti-bukti,Mengangkut
bukti, Memproses bukti

25
 5
WINHEX
 WINHEX

Pengertian Winhex
WinHex pada intinya adalah editor hexadecimal universal, yang
paling utama adalah sangat membantu dalam bidang computer
forensics, data recovery, proses data dalam tingkat yang
rendah, dan keamanan IT.

.
Winhex merupakan sebuah peralatan yang semakin maju setiap
harinya dan penggunaan dalam keadaan darurat : memeriksa dan
mengedit semua jenis file mengembalikan data yang telah dihapus
atau data yang telah hilang dari hard drives system file yang corrupt,
atau dari kartu memory digital camera.

27
 WINHEX

Kelebihan WinHex
• Disk editor untuk hard disk, floppy disk, CD-ROM & DVD,
ZIP, Smart Media, Compact Flash.
• Dukungan untuk FAT, NTFS, Ext2/3, ReiserFS, Reiser4,
UFS, CDFS, UDF
• Memiliki interpretasi untuk sistem RAID dan dynamic disks
• Berbagai macam teknik pemulihan data
• RAM editor, menyediakan akses kepada physical RAM,
dan proses–proses yang dimiliki virtual memory
• Penerjemah data, mengetauhi 20 jenis type data
• Mengedit struktur data menggunakan templates (contoh :
untuk memperbaiki tabel partisi / boot sector)

28
 WINHEX

Kelebihan WinHex
• Menyatukan dan memisahkan file, menyatukan dan membagi
kejanggalan dalam bytes/words
• Menganalisa dan membandingkan file – file
.

• Pencarian yang paling flexibel dan mengganti fungsi – fungsi

• Disk cloning (undr DOS dengan X-Ways Replica)
• Mengatur gambar dan mengamankannya (menurut pilihan
dikecilkan ukuran filenya atau dipisahkan menjadi dokumen –
dokumen sebesar 650 MB
• Memprogram interface (API) dan menulis program
• Enkripsi AES 256-bit, pengecekan total, CRC32, hashes (MD5,
SHA-1)
• Menghapus file rahasia dengan aman, membesihkan hard drive
demi menjaga privacy
29
 WINHEX

Winhex juga dapat digunakan untuk

1. Drive cloning, drive imaging; membuat suatu duplikasi yang

dapat menghemat waktu dalam msenginstal suatu dan
software lainnya untuk beberapa komputer yang sejenis
atau agar memungkinkan user untuk memperbaiki suatu
installasi yang sedang dilakukan apabila ada data yang
rusak.
2. RAM editor; menjalankan/memanipulasi program yang
sedang berjalan dan dalam permainan komputer khusus.
3. Analyzing files; menentukan jenis recoveri data sebagai
bagian rantai yang hilang oleh ScanDisk

30
 WINHEX

Winhex juga dapat digunakan untuk

4. Wiping confidential files or disks; dengan menghapus file
rahasia dengan winhex maka tidak satupun dari komputer
.

yang ada bahkan spesialis komputer forensik sekalipun tidak

akan dapat mendapatkan file itu lagi.
5. Wiping unused space and slack space; dengan menghapus
ruang kosong yang tidak terpakai maka akan meminimalkan
ukuran backup datanya. Pada drive berjenis NTFS, winhex
dapat membersihkan semua file $Mft (Master File Table) yang
tidak terpakai.
6. ASCII - EBCDIC conversion; memungkinkan user untuk dapat
merubah kode ASCII ke EBCDIC

31
 WINHEX

Winhex juga dapat digunakan untuk

7. Binary, Hex ASCII, Intel Hex, and Motorola S conversion;
digunakan. oleh programmer yang menggunakan (E)PROM

8. Unifying and dividing odd and even bytes/words; digunakan

oleh programmer yang menggunakan (E)PROM
9. Conveniently editing data structure; dapat merubah struktur
data yang ada dengan baik sesuai dengan apa yang
diinginkan.
10. WinHex as a reconnaissance and learning tool; dapat
menemukan program-program lain yang disimpan pada suatu
file. User juga dapat mempelajari file-file yang formatnya tidak
di ketahui dan bagaimana file tersebut bekerja.

32
 Thanks!

Any questions?

33