Pada tulisan ini merupakan penjelasan analisis pada ilmu
bidang komputer forensik. Berikut ini penjelasannya:
- Bagaimana memahami Penyimpanan Data?
Ketika sebuah file dihapus, file tidak
benar-benar dihapus. Yang dilakukan oleh sistem operasi adalah hanya menandai
pada file management bahwa area tersebut merupakan cluster yang tidak lagi
digunakan oleh file apapun. Cara ini cukup efisien untuk melakukan penghapusan
secara logis, namun secara fisik sebenarnya file masih terletak pada cluster
tersebut. Jika dilakukan pelacakan, maka file yang telah terhapus dapat
direkonstruksi ulang, dan di simpan untuk menjadi file utuh lagi. Model
penghapusan seperti ini dimanfaatkan oleh beberapa software forensik untuk
melacak file-file yang telah terhapus seperti WinUndelete atau bahkan
mengumpulkan kepingan data biner pada
suatu unallocated space seperti
EnCase.
- Windows Registry
Windows registry merupakan sebuah basis
data kompleks yang berusia 20 tahun. Dalam Windows registry tersimpan berbagai
macam informasi yang dapat diekstrak dan digunakan untuk analisis. Data yang
dapat ditemukan pada registry, antara lain informasi password (sebagian besar
username dan password dalam keadaan terenkripsi, namun dengan menggunakan
software third-party dimungkinkan untuk mendapatkan username dan password),
startup application, storage device hardware, wireless network, informasi
internet (URL yang pernah dikunjungi), unread e-mail (jumlah e-mail yang belum
terbaca pada Ms-Outlook). Aplikasi Paraben`s Registry Analyzer memungkinkan
untuk membaca dan menganalisis registry dengan lebih nyaman dibandingkan
regedit Windows.
- Mengenal Metadata pada Dokumen
Menangani dokumen forensik akan berurusan
dengan metadata dokumen. Yang dimaksud dengan metadata adalah data tentang
data. Sebuah dokumen yang dihasilkan dari software pengolah kata, umumnya
mempunyai metadata seperti author (pembuat dokumen), organizations, revisions,
previous authors (daftar nama yang telah melakukan akses terhadap dokumen
tersebut), template (jenis template yang digunakan dokumen), computer name,
harddisk (menunjukkan lokasi dari file tersebut), network server (sebagai
informasi perluasan dari harddisk), time, time stamps (bergantung dari sistem
operasi dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file
kali terakhir dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi,
yaitu ketika ada perubahan di dalam file), dan printed (kapan dokumen terakhir
kali dicetak).
Beberapa metadata pada dokumen dapat
dilihat secara langsung, namun beberapa metadata harus diekstrak untuk dapat
melihatnya. Sebagai contoh, dokumen Ms-Word dapat menampilkan metadata secara
langsung melalui menu Properties. Untuk melakukan ekstrak metadata dengan lebih
detail dibutuhkan alat bantu seperti Metadata Analyzer (www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini dapat
menampilan informasi metadata yang tidak nampak.
Smart PC Solutions - http://www.smartpctools.com/ |
Metadata Software - www.esqinc.com |
- E-mail Forensik
Dari sudut pandang forensik, e-mail dengan
sistem client/server memudahkan dalam menemukan informasi (kepentingan
analisis) karena semua pesan di download, dan disimpan dalam komputer lokal.
Dengan mendapatkan akses ke komputer lokal, maka analisis terhadap e-mail akan
jauh lebih mudah. Dua bagian e-mail yang dijadikan sebagai sumber pengamatan
adalah header dan body. Yang paling umum dilihat dari
sebuah header adalah From (nama dan
alamat pengirim yang mudah untuk dipalsukan), To (tujuan yang juga dengan mudah disamarkan), Subject dan Date (terekam
dari komputer pengirim, namun menjadi tidak akurat jika tanggal dan jam pada
komputer pengirim diubah). Untuk mendapatkan informasi yang lebih detail,
header pada e-mail perlu diekstrak. Dari header, tersebut bisa didapatkan
informasi IP Lokal dari pengirim, ID unik yang diberikan oleh server e-mail,
dan alamat server pengirim.
Umumnya, software e-mail client/server (seperti
Ms Outlook, Eudora atau ThunderBird) telah menyediakan fasilitas untuk melihat
header secara lengkap, namun beberapa software forensik mampu membaca dan
mengekstraksi header untuk keperluan analisis lebih lanjut, seperti EnCase atau
FTK. Dengan software forensik ini, analisis untuk melakukan pencarian, ekstrak
header, pencetakan ke printer, dan pengelompokan e-mail menjadi lebih mudah
dilakukan.
Lalu, bagaiman dengan investigasi untuk
web-based e-mail, seperti Yahoo! Atau Gmail? E-mail yang pernah terbaca melalui
web browser, tentunya tidak disimpan di komputer lokal seperti halnya e-mail
dengan sistem client/server. Ketika e-mail dibaca pada sebuah komputer, sistem
operasi meng-cache isi website tersebut pada harddisk. Cara terbaik untuk
melacak e-mail yang pernah terbaca adalah melalui area temporary file, seperti
file swap atau file cache, atau jika temporary file telah terhapus, pelacakan
dapat difokuskan pada area tempat lokasi file temporary sebelum dihapus.
Ekstraksi untuk melakukan ini akan membutuhkan
lebih banyak usaha dibandingkan ekstraksi untuk e-mail dengan sistem
client/server, karena penelusuran difokuskan untuk mencari file HTML di antara
kumpulan ratusan atau mungkin ribuan halaman-halaman HTML. Software forensik
seperti FTK atau EnCase dapat berguna untuk mempercepat pencarian. Misalkan
mencari suatu pesan yang mengandung Roesmianti@12345.com,
maka teks tersebut dapat dimasukkan sebagai dasar pencarian dilakukan hanya
untuk file HTML. Software forensik akan menjelajah isi harddisk dan berusaha
menemukan file (atau potongan file) dengan kriteria yang telah disediakan.
Sumber:
Tabloid PC Mild
2 Comment