1. PENGERTIAN DISK FORENSIK
Komputer forensik dapat diartikan sebagai pengumpulan dan analisis
data dari berbagai sumber daya komputer yang mencakup sistem komputer, jaringan
komputer, jalur komunikasi, dan berbagai media penyimpanan yang layak untuk
diajukan dalam sidang pengadilan. Komputer forensik merupakan ilmu baru yang akan terus berkembang. Ilmu ini
didasari oleh beberapa bidang keilmuan lainnya yang sudah ada. Bahkan,
komputer forensik pun dapat dispesifikasi lagi menjadi beberapa bagian,
seperti Disk Forensik, System Forensik, Network Forensik, dan Internet
Forensik.
Pengetahuan Disk Forensik sudah terdokumentasi dengan baik dibandingkan
dengan bidang forensik lainnya. Beberapa kasus yang dapat dilakukan
dengan bantuan ilmu Disk Forensik antara lain mengembalikan file yang
terhapus, mendapatkan password, mengubah partisi harddisk, mencari jejak
badsector, menganalisis File Akses dan System atau Aplikasi Logs, dan sebagainya.
Tentunya untuk mendapatkan semua informasi tersebut, diperlukan sejumlah
software, seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena,
Linux DD yang pernah digunakan oleh FBI (Federal Bureau Investigation) dalam
kasus Zacarias Moussaoui, dan JaguarForensics Toolkit, yaitu sebuah tool yang
diperkaya dengan beberapa feature menarik, seperti generator report untuk
memenuhi kebutuhan komputer forensik.
Disk forensik mencakup kemampuan dalam:
·
Mendapatkan
“bit-stream” image. Hal ini mencakup slack, unallocated space dan file
fragments yang dihapus
·
Penyidik harus mampu mendemonstrasikan pelaksanaan investigasi dengan
aturan dan bukti yang layak
·
Integritas informasi harus disajikan sedemikian rupa sehingga terbukti
keabsahannya, ini identik dengan sidik jari digital.
Beberapa hal yang bisa dilakukan dengan adanya disk forensik:
·
Me-recover
file-file yang terhapus, mendapatkan password dan kunci cryptographic
·
Menganalisa
akses file, perihal memodifikasi dan menciptakan file
·
Menganalisa
dan memanfaatkan system logs dan log software aplikasi (misalnya: monitoring
akses file di jaringan atau penggunaan software aplikas dan utility). Dengan
demikian aktivitas pengguna dapat dilacak
·
Mengenal
Metadata pada Dokumen
·
Menangani dokumen forensik akan berurusan dengan dokumen.
Yang dimaksud dengan metadata adalah data tentang data. Sebuah dokumen yang
dihasilkan dari software metadata dalam pengolah kata, umumnya mempunyai
metadata seperti author (pembuat dokumen), organizations,
revisions, previous authors (daftar nama yang telah melakukan akses
terhadap dokumen tersebut), template (jenis template yang digunakan
dokumen), computer name, harddisk (menunjukkan lokasi dari file
tersebut), network server (sebagai informasi perluasan dari
harddisk), time, time stamps (bergantung dari sistem operasi, dan
umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file terakhir kali
dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi, yaitu ketika ada
perubahan di dalam file), dan printed (kapan dokumen terakhir kali
dicetak).
Beberapa metadata pada dokumen dapat dilihat secara langsung, namun
beberapa metadata harus diekstrak untuk dapat melihatnya. Sebagai contoh untuk
menampilkan metadata pada dokumen Ms.Word secara langsung dapat dilakukan
melalui menu properties. Untuk melakukan ekstrak data dengan lebih detail
dibutuhkan alat bantu seperti Metadata Analyer (www.smartpctools.com) atau
iScrub (www.esqinc.com). Alat bantu semacam ini dapat menampilkan informasi metadata yang tidak
tampak.
2. FILE CARVING
Seperti dijelaskan sebelumnya, adalah mungkin merecovery file dari file
system yang informasi partisinya sudah rusak atau volumenya sebagian telah di
reformat. Ini dapat dilakukan melalui tehnik bernama data carving atau file
carving, di mana sebuah program mencari sejenis file tertentu dengan mencari
pola jenis file tertentu Satu hal menarik dari
teknik ini adalah ia berjalan serba otomatis: kita hanya menunjukan partisi
atau tempat partisi berada, kemudian memilih tempat untuk merstore file, dan
memungkinkan program melakukan tugas beratnya.
Pencipta TestDisk telah menciptakan tool istimewa
file carving bernama PhotoRec, yang merecovery format file umum dibanyak
media.Setting default PhotoRec bekerja baik, namun kamu jika membutuhkan
control, ada sejumlah opsi yang dapat diset Paranoid Mode, normal disabled,
merecover segala sesuatu termasuk pecahan file korup – jika mengaktifkannya.
Anda akan mendapat lebih banyak data yang dapat di
recovery, tetapi proses recovery lebih lama. Kemudian juga bisa memilih, Keep
corrupted files akan merecovery file yang tidak sepenuhnya terbaca dengan
harapan user dapat menyelamatkan sebagian di lain hari, mungkin dengan hex
editor atau tool lain. Perlu di ingat pula, file yang di recovery
dengan PhotoRec tidak mempunyai nama seperti nama file aslinya, tetapi metadata
internal (misalnya MP3 tag atau data EXIF) masih ada. Perlu dicatat pula jika
mencari jenis file spesifik dalam file system relatif kecil, dapat menggunakan
opsi internal yang ada di program untuk menyempitkan pencarian dan tidak membuang
waktu recovery.TestDisk dan PhotoRec keduanya disertakan secara default di
Partedmagic, karenanya ini care termudah mendapatkan keduanya dan membuat
bekerja langsung – namun dapat pula mendownload keduanya sebagai program
terpisah dan menggunakannya seperti biasa. Keduanya juga di integrasikan ke
BartPE; kamu juga bisa memount mereka di removable drive, booting Vista
installation DVD (jika memilikinya), masuk ke System Recovery command Line, dan
jalankan program dari sana.
2.1 Aplikasi Lanjutan DataCarving
TestDisk dan PhotoRec hanya pucuk dari gunung es, namun program-program
canggih biasanya diperuntukan tugas forensik lengkap dan tidak untuk pemakai
biasa. Foremost tampaknya merupakan nenek moyang
dari semua program data carving yang aslinya dikembangkan di Kantor Investigasi
Khusus Angkatan Udara Amerika Serikat. Sekarang program ini dirilis menjadi
public domain, sehingga dapat dipakai di manapun dan dipakai ulang oleh program
lain.Tapi harap di ingat format binary masih belum ada untuk Foremost; kamu harus
mengompilasi program dari source agar bekerja. Beberapa distro Linux (seperti
Ubuntu Feisty) sudah menyiapkan Foremost versi precompiled di repository
software, yang menjadikan program ini mudah di unduh dan digunakan.Pilihan
lainnya adalah Scapel, hasil penulisan ulang Foremost versi 0.69 – ia lebih
gegas, pemakaian memory lebih banyak, dan mempunyai fungsi bermanfaat lainnya
untuk merecovery file lebih canggih. Ia juga belum tersedia dalam bentuk binary
dan harus dikompilasi dari sourec.
Salah satu koleksi tool powerful yang dapat
berjalan di beragam platform (UNIX, BSD, dan Windows menggunakan Library
CYGWIN) adalah Sleuth Kit. Seperti halnya Foremost dan Scalpel, ia dapat
mencari file terhapus berdasar hash atau signature, namun ia juga dibekali banyak
fungsi lain.TSK dibekali sejumlah command line tool, yang dapat digunakan bila
kamu merasa nyaman atau mendownload graphical interface bernama Autopsy.
Utiliti lainnya adalah utility yang ada di PartitionSupport.com
Penggunaan komputer yang tersebar
luas dan alat digital lain telah mengakibatkan peningkatan banyaknya jenis
media berbeda yang digunakan untuk menyimpan file. Sebagai tambahan terhadap
jenis media yang biasa digunakan seperti disket dan hard drives, file juga
disimpan pada alat seperti PDA dan telepon selular, serta jenis media yang
lebih baru, seperti flash card yang dipopulerkan dengan adanya kamera digital
label berikut mendaftarkan jenis media yang digunakan pada komputer dan alat
digital. Daftar ini tidak meliputi setiap jenis media yang tersedia; melainkan
untuk menunjukkan variasi jenis media yang perlu diketahui seorang analis.
Materi Selanjutnya tentang Disk Forensik :
