BLANTERORBITv102

    Mengenal Komputer Forensik (Analisis pada Komputer Forensik)

    Rabu, 14 Maret 2012
    Pada tulisan ini merupakan penjelasan analisis pada ilmu bidang komputer forensik. Berikut ini penjelasannya:
    • Bagaimana memahami Penyimpanan Data?
    Ketika sebuah file dihapus, file tidak benar-benar dihapus. Yang dilakukan oleh sistem operasi adalah hanya menandai pada file management bahwa area tersebut merupakan cluster yang tidak lagi digunakan oleh file apapun. Cara ini cukup efisien untuk melakukan penghapusan secara logis, namun secara fisik sebenarnya file masih terletak pada cluster tersebut. Jika dilakukan pelacakan, maka file yang telah terhapus dapat direkonstruksi ulang, dan di simpan untuk menjadi file utuh lagi. Model penghapusan seperti ini dimanfaatkan oleh beberapa software forensik untuk melacak file-file yang telah terhapus seperti WinUndelete atau bahkan mengumpulkan kepingan data biner pada suatu unallocated space seperti EnCase.
    • Windows Registry
    Windows registry merupakan sebuah basis data kompleks yang berusia 20 tahun. Dalam Windows registry tersimpan berbagai macam informasi yang dapat diekstrak dan digunakan untuk analisis. Data yang dapat ditemukan pada registry, antara lain informasi password (sebagian besar username dan password dalam keadaan terenkripsi, namun dengan menggunakan software third-party dimungkinkan untuk mendapatkan username dan password), startup application, storage device hardware, wireless network, informasi internet (URL yang pernah dikunjungi), unread e-mail (jumlah e-mail yang belum terbaca pada Ms-Outlook). Aplikasi Paraben`s Registry Analyzer memungkinkan untuk membaca dan menganalisis registry dengan lebih nyaman dibandingkan regedit Windows.
    • Mengenal Metadata pada Dokumen
    Menangani dokumen forensik akan berurusan dengan metadata dokumen. Yang dimaksud dengan metadata adalah data tentang data. Sebuah dokumen yang dihasilkan dari software pengolah kata, umumnya mempunyai metadata seperti author (pembuat dokumen), organizations, revisions, previous authors (daftar nama yang telah melakukan akses terhadap dokumen tersebut), template (jenis template yang digunakan dokumen), computer name, harddisk (menunjukkan lokasi dari file tersebut), network server (sebagai informasi perluasan dari harddisk), time, time stamps (bergantung dari sistem operasi dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file kali terakhir dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi, yaitu ketika ada perubahan di dalam file), dan printed (kapan dokumen terakhir kali dicetak).
    Beberapa metadata pada dokumen dapat dilihat secara langsung, namun beberapa metadata harus diekstrak untuk dapat melihatnya. Sebagai contoh, dokumen Ms-Word dapat menampilkan metadata secara langsung melalui menu Properties. Untuk melakukan ekstrak metadata dengan lebih detail dibutuhkan alat bantu seperti Metadata Analyzer (www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini dapat menampilan informasi metadata yang tidak nampak.
    Smart PC Solutions - http://www.smartpctools.com/
    Metadata Software - www.esqinc.com
    Dari sudut pandang forensik, e-mail dengan sistem client/server memudahkan dalam menemukan informasi (kepentingan analisis) karena semua pesan di download, dan disimpan dalam komputer lokal. Dengan mendapatkan akses ke komputer lokal, maka analisis terhadap e-mail akan jauh lebih mudah. Dua bagian e-mail yang dijadikan sebagai sumber pengamatan adalah header dan body. Yang paling umum dilihat dari sebuah header adalah From (nama dan alamat pengirim yang mudah untuk dipalsukan), To (tujuan yang juga dengan mudah disamarkan), Subject dan Date (terekam dari komputer pengirim, namun menjadi tidak akurat jika tanggal dan jam pada komputer pengirim diubah). Untuk mendapatkan informasi yang lebih detail, header pada e-mail perlu diekstrak. Dari header, tersebut bisa didapatkan informasi IP Lokal dari pengirim, ID unik yang diberikan oleh server e-mail, dan alamat server pengirim.
    Umumnya, software e-mail client/server (seperti Ms Outlook, Eudora atau ThunderBird) telah menyediakan fasilitas untuk melihat header secara lengkap, namun beberapa software forensik mampu membaca dan mengekstraksi header untuk keperluan analisis lebih lanjut, seperti EnCase atau FTK. Dengan software forensik ini, analisis untuk melakukan pencarian, ekstrak header, pencetakan ke printer, dan pengelompokan e-mail menjadi lebih mudah dilakukan.
    Lalu, bagaiman dengan investigasi untuk web-based e-mail, seperti Yahoo! Atau Gmail? E-mail yang pernah terbaca melalui web browser, tentunya tidak disimpan di komputer lokal seperti halnya e-mail dengan sistem client/server. Ketika e-mail dibaca pada sebuah komputer, sistem operasi meng-cache isi website tersebut pada harddisk. Cara terbaik untuk melacak e-mail yang pernah terbaca adalah melalui area temporary file, seperti file swap atau file cache, atau jika temporary file telah terhapus, pelacakan dapat difokuskan pada area tempat lokasi file temporary sebelum dihapus.
    Ekstraksi untuk melakukan ini akan membutuhkan lebih banyak usaha dibandingkan ekstraksi untuk e-mail dengan sistem client/server, karena penelusuran difokuskan untuk mencari file HTML di antara kumpulan ratusan atau mungkin ribuan halaman-halaman HTML. Software forensik seperti FTK atau EnCase dapat berguna untuk mempercepat pencarian. Misalkan mencari suatu pesan yang mengandung Roesmianti@12345.com, maka teks tersebut dapat dimasukkan sebagai dasar pencarian dilakukan hanya untuk file HTML. Software forensik akan menjelajah isi harddisk dan berusaha menemukan file (atau potongan file) dengan kriteria yang telah disediakan.

    Sumber: Tabloid PC Mild

    Author

    Iqbal Alghifari

    BLOGGER DARI KALIMANTAN SELATAN