Mengumpulkan Data

Mengumpulkan File

            Selama mengumpulkan data, analis perlu membuat satu atau lebih salinan file atau filesistem yang relevan. Analis kemudian bisa bekerja dengan salinan file tanpa mempengaruhi file yang asli.

File dapat disalin dari media menggunakan dua teknik berbeda sebagai berikut:

•          Logical Backup. Suatu logical backup menyalin file dan direktori logical volumes. Hal tersebut tidak menangkap data lain yang mungkin ada pada media, seperti file yang dihapus atau data sisa yang disimpan di dalam slack space.

•          Physical Backup. Juga yang dikenal sebagai disk imaging, bit stream imaging menghasilkan penyalinan bit-per-bit media asli, termasuk free space dan slack space. Bit stream image memerlukan ruang penyimpanan yang lebih besar dan membutuhkan waktu lebih panjang untuk pelaksanaannya daripada logical backup.

Jika bukti dibutuhkan untuk tindakan hukum atau disiplmer, analis harus memperoleh image bit stream dari media asli, member label media asli, dan menyimpannya secara aman sebagai bukti. Analisis berikutnya harus dilakukan pada media salinan untuk memastikan bahwa media asli tidak dimodifikasi dan bahwa salinan media asli dapat selalu dibuat bila dibutuhkan. Seluruh langkah yang diambil untuk membuat salinan image harus didokumentasikan. Hal ini akan memungkinkan analis lain menghasilkan salinan tepat media asli menggunakan prosedur yang sama. Sebagai tambahan, dokumentasi yang tepat dapat digunakan untuk mendemonstrasikan bahwa bukti tidak ditangani dengan sembarangan selama proses pengumpulan. Selain langkah-langkah yang diambil untuk merekam image, analis juga harus mendokumentasikan informasi tambahan seperti model dan nomor serial hard drive, kapasitas media penyimpanan, dan informasi mengenai software atau hardware imaging yang digunakan (misalnya, nama, nomor versi, informasi lisensi). Kesemua tindakan ini mendukungterpeliharanya the chain of custody.

            Ketika image bit stream dieksekusi, kita dapat melakukan penyalinan disk-to-disk atau disk-to-file. Penyalinan disk-to-disk, menyalin seluruh isi media secara langsung ke media lain Penyalinan disk-to-file menyalin isi media ke sebuah file data logical tunggal. Penyalinan disk-to-disk bermanfaat karena media yang disalin dapat dihubungkan langsung ke sebuah komputer dan isinya dapat segera dilihat. Namun dalam penyalinan disk-to-disk media kedua harus sama dengan media asli. Penyalinan diskto- file memungkinkan image file data dipindah dan dibackup dengan mudah. Namun untuk melihat isi logikal file image, analis harus merestore image ke media atau membuka atau membacanya dari aplikasi yang mampu menampilkan isi logikal image bit stream

            Beragam tool hardware dan software dapat melakukan imaging bit stream dan backup logikal. Tool hardware umumnya portabel, terhubung secara langsung ke drive atau komputer yang ingin diimage, dan memiliki fungsi hash built-in. Solusi software umumnya terdiri dari disket startup, CD atau program terinstalasi yang berjalan pada stasiun kerja yang terhubung dengan media yang ingin diimage.

Sebagai tambahan atas fungsi utama mereka, beberapa tool imaging disk juga melakukan pencatatan record forensik, seperti pelacakan audit otomatis dan chain of custody. Dengan semakin banyaknya tool imaging disk, NIST Computer Forensics Tool Testing (CFTT) telah mengembangkan prosedur testing yang rinci untuk memvalidasi hasil tool tersebut. Saat ini, baru sedikit tool imaging disk yang mengikuti testing tersebut.

            Umumnya, tool yang melakukan imaging bit stream tidak digunakan untuk memperoleh salinan bit-by-bit seluruh device fisik dari sistem live, karena file dan memori pada sistem tersebut berubah secara konstan dan karenanya tidak dapat divalidasi. Namun demikian, penyalinan bit-by-bit logikal pada sistem live dapat diselesaikan dan divalidasi. Ketika dilakukan backup logikal, tetap disarankan untuk tidak menyalin file dari sistem live; perubahan mungkin dilakukan ke file selama proses backup, dan file yang dibuka oleh sebuah proses mungkin tidak dapat disalinkan. Selain itu, analis harus memutuskan apakah menyalin file dari sistem live feasible berdasarkan pada file apa yang ingin diperoleh, seberapa akurat dan lengkap penyalinan dibutuhkan, dan seberapa penting sistem live tersebut. Sebagai contoh, tidaklah perlu mematikan sebuah server kritis yang digunakan oleh ratusan orang hanya untuk mengambil file dari direktori home seorang user.

LINK:

Bobby Naibaho : Pengumpulan Bukti Digital Forensik

Rhiza Pramawesha :  File Sistem
M. Akhsan Fauzi : Integritas File Data