Disk Forensik Bagian 1

Komputer fo­ren­sik­ dapat diartikan sebagai pe­ngumpu­lan­ dan analisis data dari berbagai­ sumber daya komputer yang mencakup sistem komputer, ­jaringan komputer, jalur komu­nikasi, dan berbagai­ media penyimpanan yang layak untuk diajukan dalam sidang pengadilan.

           Komputer forensik merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari oleh beberapa bidang keilmu­an lainnya yang sudah ada. Bahkan, komputer forensik pun dapat dispesifikasi­ lagi menjadi beberapa bagian, seperti Disk Foren­sik, System Forensik, Network Forensik, dan Internet Forensik.

            Pengetahuan Disk Forensik sudah terdo­kumentasi dengan baik dibandingkan dengan­ bidang forensik lainnya. Beberapa  kasus yang dapat dilakukan dengan­ bantuan­ ilmu­ Disk Forensik antara lain mengem­balikan file yang terhapus, menda­pat­kan password, mengubah partisi harddisk, mencari jejak badsector, menganalisis File Akses dan System­ atau Aplikasi Logs, dan sebagai­nya.

            Tentunya untuk mendapatkan semua informasi tersebut, Anda memerlukan sejumlah software, seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernah digunakan oleh FBI (Federal Bureau Investigation)­ dalam kasus Zacarias Moussaoui, dan Jaguar­Forensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa­ feature menarik, seperti generator report untuk memenuhi kebutuhan komputer forensik.

Disk forensik mencakup kemampuan dalam:

• Mendapatkan “bit-stream” image. Hal ini mencakup slack, unallocated space dan file fragments yang dihapus
• Penyidik harus mampu mendemonstrasikan pelaksanaan investigasi dengan aturan dan bukti yang layak
• Integritas informasi harus disajikan sedemikian rupa sehingga terbukti keabsahannya, ini identik dengan sidik jari digital.

Beberapa hal yang bisa dilakukan dengan adanya disk forensik:

•  Me-recover file-file yang terhapus, mendapatkan password dan kunci cryptographic.
• Menganalisa akses file, perihal memodifikasi dan menciptakan file.
• Menganalisa dan memanfaatkan system logs dan log software aplikasi (misalnya: monitoring akses file di jaringan atau penggunaan software aplikas dan utility). Dengan demikian aktivitas pengguna dapat dilacak.
• Mengenal Metadata pada Dokumen
• Menangani dokumen forensik akan berurusan dengan  okumen. Yang dimaksud dengan metadata adalah data tentang data. Sebuah dokumen yang dihasilkan dari softwaremetadata d pengolah kata, umumnya mempunyai metadata seperti author (pembuat dokumen), organizations, revisions, previous authors (daftar nama yang telah melakukan akses terhadap dokumen tersebut), template (jenis template yang digunakan dokumen), computer name, harddisk (menunjukkan lokasi dari file tersebut), network server (sebagai informasi perluasan dari harddisk), time, time stamps (bergantung dari sistem operasi, dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file terakhir kali dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi, yaitu ketika ada perubahan di dalam file), dan printed (kapan dokumen terakhir kali dicetak).

Beberapa metadata pada dokumen dapat dilihat secara langsung, namun beberapa metadata harus diekstrak untuk dapat melihatnya. Sebagai contoh untuk menampilkan metadata pada dokumen Ms.Word secara langsung dapat dilakukan melalui menu properties.

Untuk melakukan ekstrak data dengan lebih detail dibutuhkan alat bantu seperti Metadata Analyer (www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini dapat menampilkan informasi metadata yang tidak tampak.

File Carving

Seperti dijelaskan sebelumnya, adalah mungkin merecovery file dari file system yang informasi partisinya sudah rusak atau volumenya sebagian telah di reformat. Ini dapat dilakukan melalui tehnik bernama data carving atau file carving, di mana sebuah program mencari sejenis file tertentu dengan mencari pola jenis file tertentu

Satu hal menarik dari teknik ini adalah ia berjalan serba otomatis: kita hanya menunjukan partisi atau tempat partisi berada, kemudian memilih tempat untuk merstore file, dan memungkinkan program melakukan tugas beratnya.

Pencipta TestDisk telah menciptakan tool istimewa file carving bernama PhotoRec, yang merecovery format file umum dibanyak media.

Setting default PhotoRec bekerja baik, namun kamu jika kamu membutuhkan control, ada sejumlah opsi yang dapat diset Paranoid Mode, normal disabled, merecover segala sesuatu termasuk pecahan file korup – jika kamu mengaktifkannya.

Kamu akan mendapat lebih banyak data yang dapat di recovery, tetapi proses recovery lebih lama. Kamu juga bisa memilih, Keep corrupted files akan merecovery file yang tidak sepenuhnya terbaca dengan harapan user dapat menyelamatkan sebagian di lain hari, mungkin dengan hex editor atau tool lain

Perlu di ingat pula, file yang di recovery dengan PhotoRec tidak mempunyai nama seperti nama file aslinya, tetapi metadata internal (misalnya MP3 tag atau data EXIF) masih ada. Perlu dicatat pula jika kamu mencari jenis file spesifik dalam file system relatif kecil, kamu dapat menggunakan opsi internal yang ada di program untuk menyempitkan pencarian dan tidak membuang waktu recovery.

TestDisk dan PhotoRec keduanya disertakan secara default di Partedmagic, karenanya ini care termudah mendapatkan keduanya dan membuat bekerja langsung – namun kamu dapat pula mendownload keduanya sebagai program terpisah dan menggunakannya seperti biasa. Keduanya juga di integrasikan ke BartPE; kamu juga bisa memount mereka di removable drive, booting Vista installation DVD (jika kamu memilikinya), masuk ke System Recovery command Line, dan jalankan program dari sana.

Aplikasi Lanjutan DataCarving

TestDisk dan PhotoRec hanya pucuk dari gunung es, namun program-program canggih biasanya diperuntukan tugas forensik lengkap dan tidak untuk pemakai biasa.

Foremost tampaknya merupakan nenek moyang dari semua program data carving yang aslinya dikembangkan di Kantor Investigasi Khusus Angkatan Udara Amerika Serikat. Sekarang program ini dirilis menjadi public domain, sehingga dapat dipakai di manapun dan dipakai ulang oleh program lain.

Tapi harap di ingat format binary masih belum ada untuk Foremost; kamu harus mengompilasi program dari source agar bekerja. Beberapa distro Linux (seperti Ubuntu Feisty) sudah menyiapkan Foremost versi precompiled di repository software, yang menjadikan program ini mudah di unduh dan digunakan.

Pilihan lainnya adalah Scapel, hasil penulisan ulang Foremost versi 0.69 – ia lebih gegas, pemakaian memory lebih banyak, dan mempunyai fungsi bermanfaat lainnya untuk merecovery file lebih canggih. Ia juga belum tersedia dalam bentuk binary dan harus dikompilasi dari sourec.

Salah satu koleksi tool powerful yang dapat berjalan di beragam platform (UNIX, BSD, dan Windows menggunakan Library CYGWIN) adalah Sleuth Kit. Seperti halnya Foremost dan Scalpel, ia dapat mencari file terhapus berdasar hash atau signature, namun ia juga dibekali banyak fungsi lain.

TSK dibekali sejumlah command line tool, yang dapat digunakan bila kamu merasa nyaman atau mendownload graphical interface bernama Autopsy. Utiliti lainnya adalah utility yang ada di PartitionSupport.com

sumber:

1. https://adadi.wordpress.com/2008/08/24/open-source-data-recofery-tool/
2. http://books.google.co.id/books?id=1gMtWZYlJQkC&pg=PA5&lpg=PA5&dq=disk+forensik&source=bl&ots=NE8lbOKH_q&sig=Mx5kOavifXQTiMeiCI2Th3LVRAk&hl=id&ei=JFKaTsHgEIPLrQfxrpDzAw&sa=X&oi=book_result&ct=result&resnum=8&ved=0CEsQ6AEwBw#v=onepage&q&f=false

untuk bagian selanjutnya:

bagian 2: Eka Yulianti Idris

bagian 3: Firda

bagian 4: Alandal Haq