FORENSIK TEKNOLOGI INFORMASI
- CONDRO WIBAWA -
Pada Teori Locard Exchange dikatakan bahwa :
“Every Contact Leaves a Trace”
“Setiap kontak yang terjadi akan meninggalkan jejak”
Pada teknologi digital, jejak digital bisa ditemukan pada beberapa tempat seperti : Hardisk, Memory, Jaringan, dll.
MEDIA PENYIMPANAN DISK�DAN FILE SYSTEM
Hard disk adalah media penyimpanan magnetik yang digunakan untuk menyimpan dan mengakses data digital.
Hardisk menyimpan data dalam bentuk biner (0 dan 1) dan dapat menyimpan berbagai jenis file, seperti sistem operasi, aplikasi, dan dokumen.
Jenis-jenis Hardisk
File System
Setiap media penyimpanan pada komputer harus memiliki File System
File system (sistem berkas) adalah metode dan struktur yang digunakan oleh sistem operasi untuk mengatur, menyimpan, dan mengelola data dalam media penyimpanan, seperti hard drive, SSD, atau flash drive.
Fungsi File System :
Organisasi Data: �Mengatur data dalam bentuk file dan direktori (folder) sehingga mudah diakses dan dikelola.
Penyimpanan: �Mengelola bagaimana data disimpan di media fisik, termasuk alokasi ruang penyimpanan.
Pengelolaan Akses: �Menyediakan mekanisme untuk mengontrol akses ke file, termasuk izin dan keamanan.
File System
File System merupakan penjembatan antara sistem operasi dengan file-file yang kita kelola.
Jenis File System
Terdapat banyak jenis file system
Setiap File System memiliki cara kerja, kelebihan, dan kekurangan masing-masing.
Jenis File System : FAT
FAT (File Allocation Table)
Versi: FAT12, FAT16, FAT32.
Karakteristik:
Kompatibilitas: Sangat kompatibel dengan berbagai sistem operasi dan perangkat, termasuk Windows, macOS, dan Linux.
Batas Ukuran File: FAT32 memiliki batas maksimum file 4 GB dan partisi 2 TB.
Sederhana: Struktur yang sederhana, tetapi kurang efisien dalam manajemen ruang.
Jenis File System : NTFS
NTFS (New Technology File System)
Karakteristik:
Keamanan: Mendukung izin akses file, enkripsi, dan kompresi.
Batas Ukuran: Mendukung file dan partisi yang sangat besar (hingga 16 exabyte).
Journaling: Memiliki fitur journaling untuk membantu pemulihan data setelah kerusakan.
Jenis File System : ext
Jenis File System : APFS
APFS (Apple File System)
Karakteristik:
Modern dan Efisien: Sistem file yang dirancang untuk kecepatan dan efisiensi pada perangkat Apple.
Keamanan: Mendukung enkripsi yang kuat dan pemisahan data.
Snapshot: Fitur snapshot untuk pemulihan data dan pengelolaan ruang.
PHYSICAL DISK �VS �LOGICAL DISK
Physical Disk vs Logical Disk
Hardisk fisik (hardware) pada sistem komputer disebut sebagai Physical Disk.��Akan tetapi di dalam sistem operasi, perlu adanya pengelolaan yang terpisah, karena beberapa alasan seperti efektifitas, efisiensi, keamanan, dll. Sehingga dikenal pula istilah Logical Disk.
Logical disk merujuk pada pembagian ruang penyimpanan fisik di dalam hard disk atau SSD yang dipresentasikan sebagai unit terpisah kepada sistem operasi
Disk logis dapat terdiri dari satu atau lebih partisi yang membagi ruang penyimpanan fisik menjadi bagian yang lebih kecil dan lebih mudah dikelola.
Physical Disk vs Logical Disk
Pada contoh di samping,�jumlah Physical Disk adalah 3 (bahkan bisa ditambah menjadi 5)��Kapasitas disk dari ketiga hardisk ini ditampung menjadi satu yang disebut Volume Grup��Volume Grup, yang merupakan gabungan dari beberapa disk, kemudian dipecah menjadi 2 Logical Disk.
#Saat menyimpan File, kita tidak benar-benar tahu, di hardisk mana file kita disimpan
CARA KERJA FILE SYSTEM�(SECARA UMUM)
Cara Kerja File System
Cari cara kerja File System !!
LOKASI BUKTI FILE DIGITAL
Lokasi Pencarian Bukti Digital
Bukti Digital bisa ditemukan di beberapa lokasi, diantaranya adalah
LIVE DATA
DELETED DATA
SLACK SPACE
ARTEFAK DATA
Lokasi Pencarian Bukti Digital : Live Data
Live Data merupakan lokasi dimana dapat ditemukannya barang bukti dengan mudah.
Live Data adalah jenis data biasa yang dapat diakses oleh user atau oleh software biasa dengan cara normal.
Live Data memiliki nilai sebagai barang bukti yang lebih tinggi karena datanya dapat secara langsung dianalisis
Selain Konten (isi file),�informasi yang sering digunakan pada Live Data adalah : Time Stamp (Created Time, Modified Time, Accessed Time)
Lokasi Pencarian Bukti Digital : Deleted Data
Deleted Data atau File yang telah terhapus.�Ada dua jenis metode penghapusan file yaitu : � Temporary� Permanent
Temporary, artinya file dipindah ke Recycle Bin�Permanent, artinya file dihapus dari file system��File yang telah dihapus, meskipun bisa di-Recovery, terkadang terdapat informasi yang hilang
Lokasi Pencarian Bukti Digital : Slack Space
Slack Space itu adalah ruang kosong dalam harddisk yang sudah terpakai oleh file.
Dalam sebuah media penyimpanan, biasa dibagi-bagi menjadi blok-blok area tertentu, ada Minimum Allocation Unit atau MAU, yang berguna sebagai berapa ukuran blok-blok area tersebut yang nantinya tiap blok itu akan menentukan berapa minimum kapasitas sebuah data akan disimpan dalam media penyimpanan seperti harddisk
Lokasi Pencarian Bukti Digital : Slack Space
Ketika ada file yang dihapus dengan ukuran yang berbeda, slack space ini akan tetap kosong. Sehingga diketahui ada jejak penghapusan file.
Lokasi Pencarian Bukti Digital : Artefak Data/File
Adalah data, informasi, atau jejak yang dihasilkan dan disimpan oleh sistem, aplikasi, atau perangkat. Artefak ini dapat memberikan wawasan berharga dalam penyelidikan, membantu mengungkap aktivitas pengguna, serta konteks di balik penggunaan perangkat
File Log�Catatan yang dihasilkan oleh aplikasi atau sistem operasi yang mencatat aktivitas pengguna dan sistem.�Contoh: Log sistem yang mencatat saat file dibuka, diedit, atau dihapus.
Thumbnail dan Cache�Gambar mini atau versi sementara dari file yang disimpan untuk mempercepat akses dan tampilan.�Contoh: Thumbnail gambar atau dokumen yang dapat memberikan gambaran tentang konten tanpa membuka file secara langsung.
Lokasi Pencarian Bukti Digital : Artefak Data/File
Adalah data, informasi, atau jejak yang dihasilkan dan disimpan oleh sistem, aplikasi, atau perangkat. Artefak ini dapat memberikan wawasan berharga dalam penyelidikan, membantu mengungkap aktivitas pengguna, serta konteks di balik penggunaan perangkat
File Temp dan Cache�File sementara yang dibuat oleh aplikasi untuk menyimpan data sementara saat bekerja.�Contoh: File temp yang dibuat saat pengeditan dokumen yang mungkin masih memiliki informasi berharga.
History dan Recent Files�Daftar file yang baru saja diakses atau dibuka oleh pengguna.�Contoh: Daftar file yang terlihat di aplikasi seperti Microsoft Office atau PDF reader.
Registry Entries (Windows)�Informasi yang disimpan di Windows Registry yang mencatat konfigurasi dan pengaturan sistem.�Contoh: Entri yang menunjukkan aplikasi yang diinstal dan terakhir digunakan, serta lokasi file.
Lokasi Pencarian Bukti Digital : Artefak Data/File
ANALISA DISK�MENGGUNAKAN APLIKASI NTFSWALKER
MFT pada File NTFS
MFT (Master File Table) adalah struktur data yang digunakan oleh sistem file NTFS (New Technology File System) di Windows.
MFT berfungsi sebagai pusat informasi untuk semua file dan direktori yang ada di dalam volume NTFS
Struktur MFT
Entri MFT: Setiap entri MFT memiliki ID unik dan menyimpan informasi seperti:
Nama file
Tipe file
Ukuran file
Waktu dan tanggal pembuatan, modifikasi, dan akses
Lokasi fisik blok penyimpanan di disk
File Sistem dan Direktori: Selain file pengguna, MFT juga menyimpan informasi tentang file sistem dan direktori.
MFT pada File NTFS
MFT (Master File Table) adalah struktur data yang digunakan oleh sistem file NTFS (New Technology File System) di Windows.
MFT berfungsi sebagai pusat informasi untuk semua file dan direktori yang ada di dalam volume NTFS
Ukuran MFT: MFT biasanya dimulai di awal volume NTFS dan dapat tumbuh sesuai dengan kebutuhan seiring bertambahnya file. Ukuran MFT dapat bervariasi tergantung pada jumlah dan ukuran file.
Lokasi Fisik: MFT disimpan di disk dalam bentuk blok, dan dapat terdiri dari beberapa blok tergantung pada volume.
Journaling: NTFS menggunakan journaling, yang berarti perubahan pada MFT dicatat sebelum diterapkan. Ini membantu dalam pemulihan data jika terjadi kerusakan
Investigasi Forensik: MFT sangat penting dalam analisis forensik, karena menyimpan jejak lengkap tentang semua file dan aktivitas di disk. Informasi yang ada di MFT dapat membantu penyidik melacak perubahan, menentukan waktu akses file, dan menemukan file yang telah dihapus.
MFT pada File NTFS
Investigasi Forensik: �MFT sangat penting dalam analisis forensik, karena menyimpan jejak lengkap tentang semua file dan aktivitas di disk.
Informasi yang ada di MFT dapat membantu penyidik melacak perubahan, menentukan waktu akses file, dan menemukan file yang telah dihapus.
Analisa Deleted File
Investigasi Forensik: �Deleted File bisa dilihat juga pada Data MFT,�Akan tetapi tidak semuanya bisa di-recovery.��Jika tidak bisa direcovery menggunakan aplikasi NTFSWalker, bisa dicoba menggunakan aplikasi lain seperti Recuva, Autopsy, dll.
Tugas !
ANALISA FILE
Analisa Metadata
Apa saja yang di-Analisa pada Analisa File ?
Analisa File : Metadata
Analisa Standar pada File,�bisa dilihat pada Metada File (Klik Kanan, Properties pada Windows)
atau
C:> attrib [nama file]
Analisa File : Metadata
Beberapa File, terkadang memiliki metadata yang lebih lengkap, seperti berikut :
Analisa File : Pemeriksaan Konten
Pemeriksaan Konten berarti melihat isi file.��Pada Analisa isi file, seoarang ahli forensic harus dapat menemukan :�kata kunci, pola, kata kiasan, atau fakta apapun yang berkaitan dengan sebuah kasus.
Berikut beberapa kendala yang sering dihadapi pada pemeriksaan konten :
Analisa File : Pemeriksaan Konten
Analisa File : Struktur Data
Struktur Data adalah kerangka/format yang umum digunakan pada file.��Contoh :�Pada dokumen perkantoran/pemerintahan sering ada Header/Footer dokumen, No Form, struktur umum seperti kepada, tanggal, lampiran, penggunaan salam pembuka dan penutup, penomoran, adanya watermark,dll.��Struktur data dapat memberikan informasi, atau bahkan kejanggallan yang mungkin ada.
Tugas !
Tugas !
ANALISA ARTEFAK FILE
Analisa Artefak File
Analisis artefak file melibatkan pemeriksaan elemen atau jejak yang ditinggalkan oleh file di sistem atau perangkat. Artefak ini bisa berupa data yang berkaitan dengan penggunaan file, perubahan, atau interaksi dengan sistem
File Log Akses�Catatan akses terhadap file, termasuk waktu, tanggal, dan identitas pengguna yang mengakses file.
File Temporer�Memeriksa file temporer yang mungkin menyimpan versi sementara dari file yang sedang dianalisis.
Cache Aplikasi�Menganalisis cache untuk menemukan data yang mungkin tersimpan sementara oleh aplikasi, termasuk informasi terkait penggunaan file.
Riwayat Aplikasi�Menelusuri riwayat penggunaan aplikasi yang berhubungan dengan file, termasuk dokumen yang dibuka dan disimpan.
Analisa Artefak File
lanjutan…
File Sistem (sudah dibahas sebelumnya)�Memeriksa file sistem, seperti MFT (Master File Table) pada NTFS, untuk mendapatkan informasi tentang file yang ada, termasuk yang telah dihapus.
Backup dan Restore Points�Mencari salinan cadangan atau titik pemulihan yang mungkin menyimpan versi sebelumnya dari file.
Registry (untuk Windows)�Memeriksa entri registry yang berkaitan dengan aplikasi yang digunakan untuk mengakses file, yang bisa memberikan informasi tambahan tentang aktivitas pengguna.
Jejak Digital di Jaringan�Mengidentifikasi jejak yang ditinggalkan di jaringan, termasuk transfer file dan akses jarak jauh.
File dan Folder yang Terkait�Menganalisis file dan folder lain yang mungkin terkait dengan file yang dianalisis, untuk menemukan hubungan yang relevan.
Analisa Artefak File File : Log Access
Log adalah Catatan akses terhadap file, termasuk waktu, tanggal, dan identitas pengguna yang mengakses file.
Ada banyak jenis log yang bisa dianalisa, diantaranya adalah :
Log Access Device�Log Access File�Log Access Browser (History)�Log Access Pada Registry�Log Access pada Database�
Analisa Artefak File File : Log Access -> Log Access Device
Log Akses Device adalah catatan di sistem operasi mengenai kontak dengan device tertentu.
Analisa Artefak File File : Log Access -> Log Access File
Log access File adalah catatan di sistem operasi mengenai pengaksesan file��Log access bisa dilihat pada metadata file, versioning pada aplikasi, atau cara lain yang mungkin
Analisa Artefak File File : Log Access -> Log Access File
Log access File adalah catatan di sistem operasi mengenai pengaksesan file��Log access bisa dilihat pada metadata file, versioning pada aplikasi (GitHub, MS Word, dll), atau cara lain yang mungkin
Analisa Artefak File File : Log Access -> Log Access File
Recent Files pada aplikasi Ms Word bisa menjadi informasi untuk Forensik juga
Analisa Artefak File File : Log Access -> Log Access Web Browser
Log access browser adalah catatan yang biasanya ada pada browser atau yang lebih dikenal dengan History
History ini bisa digunakan juga untuk Analisa forensik
Analisa Artefak File File : Log Access -> Log Access Cache App
Cache aplikasi adalah penyimpanan sementara data yang digunakan oleh aplikasi untuk mempercepat proses akses dan meningkatkan performa.
Ketika kamu menggunakan aplikasi, data tertentu disimpan dalam cache agar aplikasi dapat memuat informasi dengan lebih cepat pada kunjungan berikutnya.
Tugas !
ada pertanyaan
?
Referensi :
Sudyana, Didik. 2016. "Belajar Mengenali Forensika Digital". Yogyakarta : Diandra Creative
Riadi, Imam; Muthohirin, Bashor Fauzan. 2022. "Forensik Digital (Forensik Email). Yogyakarta : Diandra Creative.
https://pn-sampit.go.id/s4mp1t/images/LAPORAN_PN_SAMPIT/2020/Catatan_Bukti_Elektronik.pdf
https://catatankuliahfd.wordpress.com/2019/05/11/write-protect/
https://suwitopoms.id/penggunaan-hash-untuk-integritas-bukti-digital/
https://forensicdiscovery.expert/hash-values-are-the-dna-of-digital-evidence/
https://www.stellarinfo.com/blog/hash-values-in-digital-forensics/
https://www.nirsoft.net/utils/hash_my_files.html#google_vignette