Mengumpulkan File
Selama mengumpulkan data, analis
perlu membuat satu atau lebih salinan file atau filesistem yang relevan. Analis
kemudian bisa bekerja dengan salinan file tanpa mempengaruhi file yang asli.
File dapat disalin dari media menggunakan
dua teknik berbeda sebagai berikut:
•
Logical
Backup. Suatu logical backup menyalin file dan direktori logical volumes. Hal
tersebut tidak menangkap data lain yang mungkin ada pada media, seperti file
yang dihapus atau data sisa yang disimpan di dalam slack space.
•
Physical
Backup. Juga yang dikenal sebagai disk imaging, bit stream imaging menghasilkan
penyalinan bit-per-bit media asli, termasuk free space dan slack space. Bit
stream image memerlukan ruang penyimpanan yang lebih besar dan membutuhkan
waktu lebih panjang untuk pelaksanaannya daripada logical backup.
Jika bukti
dibutuhkan untuk tindakan hukum atau disiplmer, analis harus memperoleh image
bit stream dari media asli, member label
media asli, dan menyimpannya secara aman sebagai bukti. Analisis berikutnya
harus dilakukan pada media salinan untuk
memastikan bahwa media asli tidak dimodifikasi dan bahwa salinan media asli
dapat selalu dibuat bila dibutuhkan. Seluruh langkah yang diambil untuk membuat salinan image harus
didokumentasikan. Hal ini akan memungkinkan analis lain menghasilkan salinan tepat media asli menggunakan prosedur yang
sama. Sebagai tambahan, dokumentasi yang tepat dapat digunakan untuk mendemonstrasikan bahwa bukti tidak ditangani
dengan sembarangan selama proses pengumpulan. Selain langkah-langkah yang diambil untuk merekam image, analis juga
harus mendokumentasikan informasi tambahan seperti model dan nomor serial hard drive, kapasitas media penyimpanan, dan
informasi mengenai software atau hardware imaging yang digunakan (misalnya, nama, nomor versi, informasi lisensi).
Kesemua tindakan ini mendukungterpeliharanya the chain of custody.
Ketika image bit stream dieksekusi, kita
dapat melakukan penyalinan disk-to-disk atau disk-to-file. Penyalinan
disk-to-disk, menyalin seluruh isi
media secara langsung ke media lain Penyalinan disk-to-file menyalin isi media
ke sebuah file data logical tunggal.
Penyalinan disk-to-disk bermanfaat karena media yang disalin dapat dihubungkan
langsung ke sebuah komputer dan isinya
dapat segera dilihat. Namun dalam penyalinan disk-to-disk media kedua harus
sama dengan media asli. Penyalinan diskto-
file memungkinkan image file data dipindah dan dibackup dengan mudah. Namun
untuk melihat isi logikal file image, analis harus merestore image ke media atau membuka atau membacanya dari
aplikasi yang mampu menampilkan isi logikal image bit stream
Beragam tool hardware dan software
dapat melakukan imaging bit stream dan backup logikal. Tool hardware umumnya portabel,
terhubung secara langsung ke drive atau komputer yang ingin diimage, dan
memiliki fungsi hash built-in. Solusi software umumnya terdiri dari disket
startup, CD atau program terinstalasi yang berjalan pada stasiun kerja yang
terhubung dengan media yang ingin diimage.
Sebagai
tambahan atas fungsi utama mereka, beberapa tool imaging disk juga melakukan
pencatatan record forensik, seperti pelacakan audit otomatis dan chain of
custody. Dengan semakin banyaknya tool imaging disk, NIST Computer Forensics
Tool Testing (CFTT) telah mengembangkan prosedur testing yang rinci untuk
memvalidasi hasil tool tersebut. Saat ini, baru sedikit tool imaging disk yang
mengikuti testing tersebut.
Umumnya, tool yang melakukan imaging
bit stream tidak digunakan untuk memperoleh salinan bit-by-bit seluruh device
fisik dari sistem live, karena file dan memori pada sistem tersebut berubah
secara konstan dan karenanya tidak dapat divalidasi. Namun demikian, penyalinan
bit-by-bit logikal pada sistem live dapat diselesaikan dan divalidasi. Ketika
dilakukan backup logikal, tetap disarankan untuk tidak menyalin file dari
sistem live; perubahan mungkin dilakukan ke file selama proses backup, dan file
yang dibuka oleh sebuah proses mungkin tidak dapat disalinkan. Selain itu,
analis harus memutuskan apakah menyalin file dari sistem live feasible
berdasarkan pada file apa yang ingin diperoleh, seberapa akurat dan lengkap
penyalinan dibutuhkan, dan seberapa penting sistem live tersebut. Sebagai
contoh, tidaklah perlu mematikan sebuah server kritis yang digunakan oleh
ratusan orang hanya untuk mengambil file dari direktori home seorang user.
Bobby Naibaho : Pengumpulan Bukti Digital Forensik
No comments:
Post a Comment