File system and Sistem Operasi
Hampir semua OS juga menyediakan file system, karena
file system adalah bagian integral dari semua OS. Tugas nyata dari OS
microcomputer generasi awal hanyalah berupa manajemen file. Beberapa OS masa kini
memiliki komponen terpisah untuk menangani file system yang dulunya disebut
Disk Operating System (DOS) ini. Dalam beberapa mikrokomputer, DOS diload
secara terpisah dari bagian OS yang lain.
Karena
itulah, diperlukan interface antara user dan file system yang disediakan oleh
software dalam Sistem Operasi. Interface ini dapat berupa textual seprti Unix
Shell atau grafis seperti file browser. Jika berupa grafis, seringkali
digunakan metafora seperti folder, isi dokumen, file dan direktori folder.
Proses pengambilan data
Sistem Operasi memanggil IFS (Installable File System)
manager. IFS kemudian Memanggil FSD (File System Driver) yang sebenarnya untuk
membuka file yang diminta dari beberapa pilihan FSD yang bekerja untuk File
System yang berbeda –NTFS, VFAT, CDFS (untuk drive optikal) dan network drive.
FSD kemudian mendapatkan info lokasi kluster pertama dari file pada disk dari
FAT, VFAT atau MFT (Master File Table). MFT inilah yang yang memetakan semua
file pada disk dan merekan jejak di mana file disimpan.
Memahami
Bagaimana Penyimpanan Data
Ketika
sebuah file dihapus, file tidaklah benar-benar dihapus. Yang dilakukan oleh
sistem operasi adalah hanya menandai pada file management bahwa area tersebut
merupakan cluster yang tidak lagi digunakan oleh file apapun. Cara ini cukup
efisien untuk melakukan penghapusan secara logis, namun secara fisik sebenarnya
file masih terletak pada cluster tersebut. Jika dilakukan pelacakan, maka file
yang telah terhapus dapat direkonstruksi ulang, dan disimpan untuk menjadi file
utuh lagi. Model penghapusan seperti ini dimanfaatkan oleh beberapa software
forensik untuk melacak file-file yang telah terhapus seperti WinUndelete atau
bahkan mengumpulkan kepingan data biner pada suatu unallocated space seperti
EnCase.
Penggunaan
komputer yang tersebar luas dan alat digital lain telah mengakibatkan
peningkatan banyaknya jenis media berbeda yang digunakan untuk menyimpan file.
Sebagai tambahan terhadap jenis media yang biasa digunakan seperti disket dan
hard drives, file juga disimpan pada alat seperti PDA dan telepon selular,
serta jenis media yang lebih baru, seperti flash card yang dipopulerkan dengan
adanya kamera digital label berikut mendaftarkan jenis media yang digunakan
pada komputer dan alat digital.
Daftar
ini tidak meliputi setiap jenis media yang tersedia; melainkan untuk
menunjukkan variasi jenis media yang perlu diketahui seorang analis.
Windows
Registry
Windows registry merupakan sebuah
basis data kompleks yang kini telah berusia 20 tahun. Dalam Windows registry
tersimpan berbagai macam informasi yang dapat diekstrak, dan digunakan untuk
analisis. Data yang dapat ditemukan pada registry antara lain: informasi
password (sebagian besar user name dan password terenkripsi, namun dengan
menggunakan software third-party dimungkinkan mendapatkan username dan
password), startup application, storage device hardware, wireless network,
informasi Internet, unread e-mail (jumlah e-mail yang belum terbaca pada MS
Outlook). Aplikasi Paraben’s Registry Analyzer memungkinkan untuk membaca dan
menganalisis registry dengan lebih nyaman dibandingkan regedit Windows.
Mengenal
Metadata pada Dokumen
Menangani dokumen forensik akan
berurusan dengan metadata dokumen. Yang dimaksud dengan metadata adalah data
tentang data. Sebuah dokumen yang dihasilkan dari software pengolah kata,
umumnya mempunyai metadata seperti author (pembuat dokumen), organizations,
revisions, previous authors (daftar nama yang telah melakukan akses terhadap
dokumen tersebut), template (jenis template yang digunakan dokumen), computer
name, harddisk (menunjukkan lokasi dari file tersebut), network server (sebagai
informasi perluasan dari harddisk), time, time stamps (bergantung dari sistem
operasi, dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file
terakhir kali dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi,
yaitu ketika ada perubahan di dalam file), dan printed (kapan dokumen terakhir
kali dicetak).
Beberapa metadata pada dokumen dapat
dilihat secara langsung, namun beberapa metadata harus diekstrak untuk dapat
melihatnya. Sebagai contoh untuk menampilkan metadata pada dokumen Ms.Word
secara langsung dapat dilakukan melalui menu properties. Untuk melakukan
ekstrak data dengan lebih detail dibutuhkan alat bantu seperti Metadata Analyer
(www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini
dapat menampilkan informasi metadata yang tidak tampak.
Email
Forensik
Dari sudut pandang forensik, e-mail
dengan sistem client/server memudahkan dalam menemukan informasi (untuk
kepentingan analisis) karena semua pesan di-download, dan disimpan dalam
komputer lokal. Dengan mendapatkan akses ke komputer lokal, maka analisis
terhadap e-mail akan jauh lebih mudah. Dua bagian e-mail yang dijadikan sumber
pengamatan adalah header dan body. Yang paling umum dilihat dari sebuah header
adalah From (nama dan alamat pengirim yang mudah untuk dipalsukan), To (tujuan
yang juga dengan mudah disamarkan), Subject and Date (terekam dari komputer
pengirim, namun menjadi tidak akurat jika tanggal dan jam pada komputer
pengirim diubah). Untuk mendapatkan informasi yang lebih detail, header pada
e-mail perlu diekstrak. Dari header tersebut bisa didapatkan informasi IP Lokal
dari pengirim, ID unik yang diberikan oleh server e-mail, dan alamat server
pengirim.
Umumnya, software e-mail client/server
(seperti Ms.Outlook, Eudora, atau ThunderBird) telah menyediakan fasilitas
untuk melihat header secara lengkap, namun beberapa software forensik mampu
membaca dan mengekstraksi header untuk keperluan analisis lebih lanjut seperti
EnCase atau FTK. Dengan software forensik ini, analisis untuk melakukan
pencarian, ekstrak header, pencetakan ke printer, dan pengelompokkan e-mail
menjadi lebih mudah dilakukan.
Lalu, bagaimana dengan investigasi
untuk web-based e-mail, seperti Yahoo! atau Gmail? E-mail yang pernah terbaca
melalui web browser, tentunya tidak disimpan di komputer lokal seperti halnya
e-mail dengan sistem client/server. Ketika e-mail dibaca pada sebah komputer,
sistem operasi meng-cache isi website tersebut pada harddisk. Cara terbaik
untuk melacak setiap e-mail yang pernah terbaca adalah melalui area temporary
file seperti file swap atau file cache, atau jika temporary file telah
terhapus, pelacakan dapat difokuskan pada area tempat lokasi file temporary
sebelum dihapus.
Ektraksi untuk melakukan ini akan
membutuhkan lebih banyak usaha dibandingkan ekstraksi dengan sistem
client/server, karena penelusuran difokuskan untuk mencari file HTML di antara
kumpulan ratusan atau mungkin ribuan halaman-halaman HTML. Software forensik
seperti FTK atau EnCase dapat berguna untuk mempercepat pencarian. Misalkan
mencari suatu pesan yang mengandung fadh325@situsku.com, maka teks tersebut
dapat dimasukkan sebagai dasar pencarian pada sebuah software forensik, dan
diatur agar pencarian dilakukan hanya untuk file HTML. Software forensik akan
menjelajah isi harddisk, dan berusaha menemukan file (atau potongan file)
dengan kriteria yang telah disediakan.
Software
& Hardware Komputer Forensik
Seorang ahli komputer forensik, dalam
mempertahankan keaslian atau melakukan analisis terhadap e-evidence, memerlukan
sistem komputer, yaitu hardware dan software yang khusus dalam melakukan
analisisnya. Tanpa menggunakan sistem komputer yang memadai, seorang ahli
forensik tidak dapat banyak melakukan analisis.
Fungsi
dasar yang dapat dilakukan dari sistem komputer forensik adalah:
1. Membuat
sebuah kopi yang akurat dari harddisk ke harddisk lainnya atau kedalam sebuah
image file.
2. Membuat
sebuah kopi yang akurat dari harddisk ke sebuah media penyimpanan yang sifatnya
removable atau portable.
3. Melakukan
analisis terhadap suatu media atau image file.
Lanjutan
:
[Part
4] oleh Triyana Putri (52409007)
[Part
5] oleh Wita Arthalia (54409826)
Kelas
: 4IA07
Sumber
:
Tidak ada komentar:
Posting Komentar