Computer Investigation Process TRI PUJI WIDIASTUTI
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Computer Investigation Process
TRI PUJI WIDIASTUTI
Investigasi Kejahatan Komputer
• Sebelum memulai penyelidikan, penyidik perlu terlebih dahulu menentukan bahwa insiden telah terjadi dan kemudian menilai dampaknya.
• Seorang penyidik harus memverifikasi setiap pengaduan yang terkait dengan intrusi, karena beberapa mungkin berubah menjadi tipuan panggilan.
Kebijakan dan Prosedur Pembangunan
Jenis kebijakan dan prosedur yang harus ditetapkan:• Pernyataan misi: Menggabungkan fungsi inti unit yang
meliputi kejahatan teknologi tinggiinvestigasi, pengumpulan bukti, dan analisis forensik
• Persyaratan personil untuk unit komputer forensik: Termasuk deskripsi pekerjaan, kualifikasi minimum,jam operasi, status on-call tugas, struktur komando, dan konfigurasi tim.
• Pertimbangan-pertimbangan administratif : Termasuk pertimbangan lisensi software, sumber komitmen, dan pelatihan.
• Penyampaian dan pengambilan layanan permintaan komputer forensik: Mengembangkan pedoman untuk mengatur proses pengajuan permintaan dan penerimaan permintaan layanan komputer forensik iniuntuk pemeriksaan bukti digital
• Pelaksanaan prosedur manajemen kasus: Termasuk sifat kejahatan, tanggal pengadilan, tenggat waktu,mungkin korban, pertimbangan hukum, dan sifat bukti volatile
• Penanganan bukti: Memberikan pedoman untuk menerima, memproses, mendokumentasikan, dan melestarikan bukti pada saat pemeriksaan
• Pengembangan prosedur kasus-processing: Membantu dalam melestarikan dan pengolahan bukti digital
• Pengembangan teknis prosedur: Mengidentifikasi tugas atau masalah, Mengusulkan solusi yang mungkin, Pengujian setiap solusi pada sampel kontrol yang dikenal, Mengevaluasi hasil tes, dan Menyelesaikan prosedur
Investigasi Perusahaan Pelanggaran Kebijakan
• Setiap perusahaan memiliki seperangkat standar kebijakan bahwa setiap karyawan harus mengikuti mengenai penggunaan peralatan komputer yang dimiliki oleh perusahaan.
• Karyawan yang menggunakan sumber daya perusahaan seperti Internet atau sistem komputer untuk penggunaan pribadi tidak hanya melanggar kebijakan perusahaan tetapi juga membuang-buang sumber daya, waktu, dan uang.
Persyaratan Sebelum Memulai Investigasi
• Teknisi harus cukup mampu untuk menganalisis dan memperoleh berbagai bukti.
• Laboratorium harus dilengkapi dengan peralatan yang tepat dan alat-alat forensik yang diperlukan untuk penyelidikan.
Pertimbangan Hukum• Ketika penyidik berhadapan dengan kasus yang
melibatkan kejahatan komputer adalahmemiliki sinkronisasi dengan jaksa wilayah setempat.
• Beberapa poin hukum yang penting harus diingat penyidik adalah:- Memastikan lingkup pencarian- Memeriksa kemungkinan masalah yang berkaitan dengan undang-undang federal yang berlaku
Metodologi Investigasi • Metodologi tidak lebih dari seperangkat pedoman
yang digunakan untuk menjaga konsistensi. • Ada dua hal yang dapat memberikan dasar untuk
analisis mudah dan bangunan kasus:mendefinisikan metodologi dan bekerja sesuai.
• Dengan mendefinisikan metodologi, penyidik dapat memilikigambaran tentang bagaimana kasus forensik harus ditangani secara umum, meskipun setiap kasus ditangani secara berbeda.
Mengevaluasi KasusAda beberapa langkah yang harus diambil ketika menilai kasus:
1. Awalnya memeriksa permintaan layanan penyidik .2. Cari otoritas hukum untuk permintaan pemeriksaan forensik.3. Pastikan bahwa permintaan bantuan diberikan.4. Menyediakan rantai lengkap tahanan.5. Periksa apakah proses forensik seperti analisis DNA, sidik
jari, tanda alat, jejak, dan mempertanyakandokumen harus dilakukan pada bukti.
6. Periksa apakah ada kemungkinan untuk mengikuti metode investigasi seperti mengirim perintah ke pelestarian Penyedia layanan Internet, mengidentifikasi lokasi penyimpanan terpencil, dan mendapatkan e-mail. Layanan Internet (ISP) adalah perusahaan yang menyediakan akses Internet untuk perorangan atau organisasi.
7. Mengidentifikasi relevansi berbagai komponen periferal, seperti kartu kredit, cek kertas, scanner, dankamera, ke TKP.
8. Membangun potensi bukti yang dicari.9. Mendapatkan rincian tambahan seperti alamat e-mail,
ISP yang digunakan, dan nama pengguna.10. Mengevaluasi tingkat keahlian dari para pengguna
untuk mengidentifikasi keahlian mereka dalam menghancurkan atau menyembunyikan bukti.
11. Mengatur urutan pemeriksaan bukti.12. Identifikasi apakah personil tambahan diperlukan.13. Identifikasi apakah peralatan tambahan yang
diperlukan.
Melakukan Penilaian AwalSetelah melakukan penilaian awal untuk mencari bukti, penyidik perlu melakukan langkah berikut:
1. Mengambil snapshot dari TKP sebelum mengumpulkan bukti.
2. Mengumpulkan dan merebut peralatan yang digunakan dalam melakukan kejahatan.
3. Dokumentasikan item dikumpulkan , seperti disket , CD , dan DVD . Setelah melakukan langkah-langkah ini , penyidik dapat mendokumentasikan prosedur diikuti selama pengumpulan bukti dan kemudian mulai penyelidikan yang sebenarnya .
Spanduk Peringatan• Sebuah spanduk peringatan teks bahwa pengguna
biasanya membaca sebelum menandatangani pada sistem di mana pengguna tanggung jawab saat menggunakan sistem dinyatakan.
• Spanduk Peringatan menginformasikan pengguna bahwa sistem dapat dimonitor untuk mendeteksi penggunaan yang tidak benar dan kegiatan terlarang lainnya selama ini dia adalah pada sistem.
• Sebuah spanduk peringatan harus menginformasikan pengguna otentik ketika pemantauan yang digunakan untuk mengidentifikasi ataumenonton penyusup
Mengumpulkan Bukti• Peneliti harus mencari bukti di TKP
yang mungkin berhubungan dengan kasus.
• Komputer dan komponen terkait dapat menentukan rantai kejadian yang menyebabkan kejahatan dan dapat memberikan bukti yang diperlukan untuk keyakinan.
Mendapatkan Surat perintah Pencarian
Sebuah surat perintah penggeledahan adalah perintah tertulis yang dikeluarkan oleh hakim yang mengarahkan petugas penegak hukum untuk mencari bagian tertentu dari bukti di lokasi tertentu. Yang diusulkan surat perintah pada dasarnya adalah bentuk satu halaman, bersama dengan lampiran dimasukkan oleh referensi, menunjukkan tempat yang akan dicari dan orang-orang atau hal yang harus disita. Jika kemungkinan penyebab pencarian dan deskripsi tempat yang akan dicari dan hal yang harus disita secara memadai didirikan pada pengadilan, maka Hakim akan menandatangani surat perintah. Berdasarkan aturan federal acara pidana, pelaksanaan surat perintah harus mengambil tempatkan dalam waktu 10 hari dari penandatanganan surat perintah.
Mempersiapkan PencarianPeran komputer dalam suatu kejahatan bisa itu adalah:
1. Sebuah alat pelanggaran: Misalnya, pemalsu mungkin menggunakan scanner dan printer untuk memindai dan mencetakmata uang. Dalam konteks ini, komputer secara aktif terlibat dalam melakukan kegiatan terlarang.
2. Sebuah repositori pelanggaran: Sebagai contoh, seorang pencuri identitas mungkin diam-diam menyimpan rincian kartu kredit pelanggan. Dalam situasi tertentu, komputer digunakan baik sebagai alat dan repositori. Sebagai contoh, hacker dapat menggunakan komputer baik untuk menyerang sistem dan untuk menyimpan file dicuri. Surat perintah harus dikeluarkan dengan pertimbangan untuk peran komputer dalam kejahatan tersebut.
Langkah Meneliti dan Mengumpulkan Bukti
1. Menemukan bukti : penyidik harus mencari tempat di mana bukti itu disimpan. Penyidik perlu untuk mempersiapkan checklist untuk cross-check temuan dan daftar semua item yang dapat digunakan untuk melakukan kejahatan .
2. Temukan data yang relevan3. Siapkan urutan volatilitas : bukti tersebut
disebut bukti volatile, karena memerlukan daya pasokan yang konsisten untuk penyimpanan atau mengandung informasi yang terus berubah.
Urutan volatilitas berfungsi sebagai panduan yang dapat membantu penyidik mengumpulkan bukti dalam urutan terbaik.Orde volatilitas dapat :• Register dan cache• Routing tabel• cache ARP• Tabel Proses• Statistik Kernel dan modul
Menurut National Institute of Justice ( 2004 ) , beberapa langkah ketika memperoleh bukti bahwa ia telah diidentifikasi sebagai relevan dengan kasus ini :• Menyelidiki susunan perangkat penyimpanan untuk
memastikan bahwa semua ruang dicatat , termasuk hostprotecteddaerah data
• Ambil nomor seri elektronik drive dan dapat diakses pengguna , data host - spesifik lainnya .
• Mendapatkan bukti dengan menggunakan alat yang tepat , termasuk :- Stand-alone software duplikasi- Forensik analisis suite software- perangkat keras Dedicated
• Menggunakan oleh sektor- sektor perbandingan , menghubungkan nilai-nilai dalam bukti dan cadangan .
Metode Pengumpulan BuktiBukti yang dikumpulkan dari komputer hidup dengan mencari berikut :
• Proses mendaftar : Ini termasuk layanan seperti inspeksi dan pengujian kalibrasi , manajemen konstruksi , perangkat keras, dan perangkat lunak .
• Virtual dan memori fisik : ini menyediakan ruang alamat yang lengkap untuk setiap proses dan melindungi setiap proses dari proses lainnya.
• Jaringan negara : Ini menunjukkan keadaan jaringan dan termasuk alamat IP dan URL .
• Menjalankan proses : Ini semua proses yang sedang berjalan pada komputer .
• Disk, kaset , dan CD-ROM : Ini adalah media fisik yang digunakan untuk penyimpanan data .
• Kertas cetakan : Ini menunjukkan data yang telah dicetak dari komputer hidup .
Berikut ini adalah sumber stabil dan perintah yang digunakan untuk menangkap bukti pada komputer hidup :
• ps atau / proc file system : Digunakan untuk menjalankan proses
• netstat : Menampilkan koneksi TCP yang aktif , statistik Ethernet , dan tabel routing IP
• arp ( cache ARP ) : Menampilkan pemetaan antara lapisan yang berbeda dari arsitektur jaringan
• lsof ( daftar berkas yang dibuka ) : Menunjukkan semua file yang sedang terbuka
• / dev / mem dan / dev / kmem : Memeriksa setiap patch komputer
Berikut ini adalah alat-alat forensik komputer yang digunakan untuk pengumpulan data:
• EnCase Bimbingan Software (www.guidancesoftware.com) , EnCase adalah data forensik dan analisis Program untuk berbagai sistem operasi yang digunakan untuk melakukan penyelidikan yang berkaitan dengan komputer .
• Access Data yang Forensik Toolkit ( www.accessdata.com ) ; AccessData yang Forensik Toolkit , disebut dengan analis forensik hanya sebagai FTK , berisi rangkaian lengkap dari alat pemulihan password, drive dan wiper media, penampil registri , dan produk berguna lainnya . Alat pemulihan password juga membuka file terkunci .
Langkah Mengamankan Bukti Digital Komputer
• Ikuti panduan departemen bila mungkin , jika tidak, gunakan Sebuah Panduan untuk Responders Pertama .
• Dokumen dan memverifikasi konfigurasi hardware dari sistem yang akan diperiksa .
• Bongkar komputer untuk diperiksa .• Mengidentifikasi dan mendokumentasikan
perangkat penyimpanan internal .
Mencegah Merusakkan Bukti
1. Mengumpulkan bukti : Mengumpulkan bukti menggunakan teknik yang tepat dan industri yang berlaku dan prosedur .
2. Siapkan lacak balak : Peneliti harus mendokumentasikan proses pengumpulan . Dokumen harustermasuk perangko waktu , tanda tangan digital , dan pernyataan ditandatangani .
Pengolahan Penilaian Lokasi
• Waktu yang diperlukan untuk memulihkan bukti saat penukaran
• Kekhawatiran logistik dan tenaga kerja yang terkait dengan penyebaran jangka panjang
• Bisnis dampak dari pencarian memakan waktu• Kesesuaian peralatan, sumber daya , media,
pelatihan , dan pengalaman untuk pemeriksaan onsite
Formulir Rantai- dari- Bukti• Dokumen berupa rantai- bukti apa yang telah dan belum dilakukan
dengan baik bukti asli dan setiap salinan bukti forensik . • Beberapa informasi yang terkandung pada bentuk rantai-bukti seperti:
- Nomor Kasus : Setiap kasus memiliki nomor kasus yang berbeda , dan jumlah ini diberikan oleh organisasi yang dimiliki penyidik .- Investigasi organisasi: Nama organisasi menyelidiki kasus ini .- Penyidik untuk kasus : Nama penyidik yang menangani kasus tersebut .- Sifat kasus : Sebuah deskripsi singkat dari kasus tersebut .- Deskripsi bukti : Berisi informasi tentang jenis bukti yang dikumpulkan .- Bukti ditemukan oleh : Nama penyidik yang pulih bukti . Ini adalahblok bangunan untuk lacak balak . Lacak balak adalah metode mendokumentasikan sejarah dan kepemilikan sampel dari waktu penagihan kepada disposisi akhir.-Tanggal dan waktu : Tanggal dan waktu ketika bukti itu dibawa ke tahanan.
- Lokasi dari mana bukti itu pulih : Lokasi di mana bukti ditemukan .- Bukti diproses oleh nomor item : Ketika bukti diproses dan dianalisa oleh penyidik , nama orang yang ditangani dan diproses pada tanggal tertentu dan waktu yang tertulis di sini.- Bukti ditempatkan di loker: Berisi informasi tentang yang aman kontainer bukti sedangdigunakan untuk menyimpan bukti dan ketika bukti ditempatkan di dalamnya.- Barang / bukti diproses oleh / Disposisi bukti / Tanggal / Waktu: Berisi informasi mengenai penyidik nama, nomor item tertentu bukti, dan deskripsi tentang apa yang dilakukan ketika penyidik memperoleh bukti untuk pengolahan dan analisis.- Nomor halaman: ditentukan dalam format "Halaman x y."- Nama vendor: Nama produsen bukti.- Model atau nomor seri: kebanyakan komputer komponen memiliki nomor model yang bukan nomor seri.
Meneliti Bukti DigitalPeneliti harus melakukan proses pemeriksaan terhadap salinan bit-stream daripada komputer aslinya. Sementara penulisan dokumentasi, penyidik harus menggunakan sistem tanggal yang akurat dan waktu. Salinan bit-stream adalah duplikat yang tepat dari disk yang asli, sementara cadangan copy hanyalah file terkompresi disimpan dalam folder . Bit - streaming dapat membuat gambar yang tepat dari sebuah disk , karena disalin bit - by- bit .
Salinan bit- stream
Membuat ke –Bit Streaming• untuk membuat gambar bit-stream dari disk bukti ,
penyidik harus menyalin gambar bit-stream ke target disk yang bekerja, yang identik dalam semua aspek ke disk bukti . Sebelum menyalin disk , penyidik harus memastikan bahwa disk yang digunakan untuk menyalin mirip ( dengan kata lain , produsen dan model disk target harus sama dengan produsen dan model bukti disk yang asli) .
• Peneliti harus menganalisis duplikat salinan bukti sehingga bukti asli tidak akan diubah dan disentuh.
Teknik yang digunakan untuk membuat salinan forensik
• Membuat ke - Bit Streaming Menggunakan MS – DOS
1 . Pertama, menulis - melindungi floppy dengan menggerakkan write-protect tab ke posisi terbuka .2 . Masukkan disk bukti ke disk drive .3 . Tipe diskcopy A : A : / V di MS - DOS prompt dan tekan Enter . / V adalah switch verifikasi untuk memverifikasi bahwadata yang disalin dengan benar .4 . Ketika disk disalin , hapus disk bukti , masukkan disk target , dan dilanjutkan dengan menyalin datamengikuti petunjuk pada layar .5 . Tipe N untuk tidak jika pesan baik untuk membuat yang lain duplikat disk atau menyalin disk lain muncul .6 . Kembali disk bukti untuk wadah aman .7 . Masukan Nama Domain copy pekerjaan label # 1 pada disk target .
• Mendapatkan ke Bit - Streaming dari Floppy Disk Menggunakan Gambar
1 . Write-protect disket dengan memindahkan write-protect tab ke posisi terbuka .2 . Masukkan disk bukti ke disk drive .3 . Pada prompt perintah , ketik cd \ folder kerja \ Folder \ Subfolder , di mana folder kerja adalah direktori rootdan Folder di bawah akar . Tekan Enter .4 . Untuk memperoleh data dari disk bukti , tipe citra : c : \ folder kerja \ Folder \ Subfolder \ evidence.img dantekan Enter .5 . Kembali disk bukti untuk wadah aman .6 . Salinan bit-stream disk disimpan dalam file bernama evidence.img pada hard disk .7 . Langkah berikutnya adalah untuk mentransfer gambar ke disk target untuk membuat salinan forensik .
• Membuat ke Bit - Stream Bukti Menggunakan Gambar
1 . Arahkan ke My Computer untuk menemukan file evidence.img dalam Folder \ file data Subfolder .2 . Salin file evidence.img dari file data ke Folder \ Subfolder pada hard disk .3 . Pada prompt perintah , ketik cd \ folder kerja \ Folder \ Subfolder dan tekan Enter .4 . Masukkan disk target dalam disk drive .5 . Jenis gambar evidence.img a : dan tekan Enter .6 . Pasang Pengujian label Salin pada disk target .Sementara mentransfer data dari file gambar , gambar decompress file gambar dan menciptakan tepatduplikat dari disk . Ini juga mencakup ruang slack dan ruang kosong pada disk . Slack space adalah ruang yangada antara akhir file dan akhir dari cluster terakhir yang digunakan oleh file tersebut ( akhir ruang yang dialokasikanuntuk file ) , dan ruang bebas adalah ruang tidak disediakan untuk file yang disimpan .
Tulis PerlindunganMenurut National Institute of Justice ( 2004) , menulis perlindungan harus dimulai , jika tersedia , untuk melestarikan dan melindungi bukti asli .
• Jika hardware perlindungan menulis digunakan :- Menginstal perangkat tulis perlindungan.- Boot sistem dengan sistem operasi dikendalikan pemeriksa .
• Jika perangkat lunak menulis perlindungan yang digunakan :- Boot sistem dengan sistem operasi dikendalikan pemeriksa .- Aktifkan menulis perlindungan .
DriveSpyDriveSpy adalah alat DOS disk forensik yang dirancang untuk meniru dan memperluas kemampuan DOS untuk memenuhi kebutuhan forensik. Ini menciptakan duplikat forensik disk-to -disk langsung dan dapat menyalin berbagai sektor dalam atau antara drive dan proses duplikat drive terlepas dari ukuran drive fisik atau perbedaan terjemahan sektor. Untuk menjalankan DriveSpy , DriveSpy.exe harus dalam folder yang sama dengan file DriveSpy.ini dan DriveSpy.hlp .
• DriveSpy beroperasi di salah satu mode berikut:
- Sistem program: Beroperasi pada tingkat BIOS dan memungkinkan navigasi dan tampilan semua disk drive terhubung ke komputer- Hard Mode : Digunakan sambil memeriksa disk yang belum diformat , mengakses tingkat fisik , yang memungkinkan melihatdata mentah pada disk- Bagian program: Juga dikenal sebagai modus partisi , mengacu pada struktur logis dari disk dan dapat menunjukkan direktori dan file untuk tabel alokasi file ( FAT )
• Bersiap untuk Menganalisis ke Bit - Streaming dari Bukti Disk Menggunakan DriveSpy1 . Menulis -melindungi floppy disk dengan memindahkan takik ke posisi terbuka .2 . Boot workstation ke MS - DOS .3 . Jalankan perintah Toolpath.bat .4 . Masukkan Salin Pengujian ke disk drive .
• Menganalisis ke Bit - Streaming dari Bukti Disk Menggunakan DriveSpy1 . Jenis DriveSpy di MS - DOS prompt dan tekan Enter .2 . Pada SYS > cepat , jalankan perintah berikut : Output workfolder \ Folder \ Subfolder \ evidence.log3 . Untuk mengakses disk bukti , ketik Drive dan tekan Enter .4 . DriveSpy terbuka dalam modus disk .5 . Jalankan perintah Part 1 pada prompt DA untuk mengakses modus partisi .6 . Ketik Q untuk keluar .
• Ekstrak Data1 . Restart DriveSpy .2 . Jalankan perintah berikut di SYS > prompt: Output workfolder \ Folder \ Subfolder \ Evidence.log3 . Untuk mengakses mode drive , ketik Drive dan tekan Enter .4 . Untuk beralih ke mode partisi , jalankan Part 1 pada prompt DA .5 . Pada prompt DAP1 , jalankan perintah berikut : dbexport workfolder \ Folder \ Subfolder \ Evidence.txt6 . Jalankan perintah berikut untuk menyalin semua data dialokasikan : . * Copy * / S workfolder \ Folder \ Subfolder7 . Tekan Y untuk melihat hasil dalam mode halaman .8 . Jenis unerase * * / S workfolder \ Folder \ Subfolder dan tekan . Enter.
• Menganalisis Data1 . Reboot mesin ke mode Windows.2 . Arahkan ke My Computer untuk melihat file pada floppy disk .3 . Klik kanan file pertama , dan klik Properties .4 . Perhatikan sifat setiap file , seperti pembuatan , modifikasi , dan akses tanggal dan waktu di terpisahdokumen Notepad .5 . Gunakan My Computer untuk membuka folder kerja \ Folder \ Subfolder untuk memeriksa isi dari setiap file.6 . Buka Evidence.txt di Notepad dan memeriksa isinya.7 . Memeriksa isi semua file dihapus .8 . Lepaskan perangkat penyimpanan untuk menghindari kerusakan atau perubahan data .
Penilaian bukti• Memprioritaskan bukti :• Lokasi bukti di TKP• Stabilitas media untuk diperiksa• Menetapkan bagaimana untuk mendokumentasikan
bukti ( misalnya , foto , sketsa , atau catatan )• Mengevaluasi lokasi penyimpanan untuk interferensi
elektromagnetik• Menentukan keadaan bukti setelah kemasan ,
transportasi , atau penyimpanan• Mengevaluasi kebutuhan untuk menyediakan
pasokan listrik yang terus-menerus untuk perangkat yang dioperasikan dengan baterai
Pemeriksaan Bukti• Untuk melakukan pemeriksaan , pemeriksa
harus:- Gunakan diterima prosedur forensik .- Hindari menggunakan bukti asli .
• Ketika melakukan pemeriksaan bukti,langkah-langkah berikut harus dipertimbangkan :- Persiapan : ini memungkinkan penyidik untuk mempersiapkan direktori kerja atau direktori pada media yang terpisah sehingga file bukti dan data dapat dipulihkan atau diekstrak.- Ekstraksi : Ada dua jenis ekstraksi , fisik dan logis.
Ekstraksi Fisik Ini mungkin termasuk metode berikut :• Kata kunci pencarian , ukiran berkas , dan ekstraksi tabel
partisi dan ruang yang tidak terpakai pada drive fisik .• Melakukan pencarian kata kunci pada drive fisik , hal ini
mungkin berguna , karena memungkinkan pemeriksa untuk mengekstrak data yang mungkin tidak diperhitungkan oleh sistem operasi dan file sistem .
• utilitas File- ukiran diproses pada drive fisik , hal ini dapat membantu dalam pemulihan dan penggalian file yang dapat digunakan dan data yang mungkin tidak diperhitungkan oleh sistem operasi dan file sistem .
• Meneliti struktur partisi , hal ini dapat mengidentifikasi file sistem hadir dan menentukan apakah seluruh ukuran fisik dari hard drive dipertanggungjawabkan .
Ekstraksi logisLangkah-langkah meliputi :• Ekstraksi dari informasi sistem file untuk mengungkapkan
karakteristik seperti struktur direktori , atribut file , nama file , tanggal dan waktu perangko , ukuran file , dan file location
• Reduksi data untuk mengidentifikasi dan menghilangkan file yang diketahui melalui perbandingan nilai hash dihitung nilai-nilai hash dikonfirmasi
• Ekstraksi file yang berkaitan dengan pemeriksaan; metode untuk mencapai hal ini mungkin didasarkan pada nama file dan ekstensi , file header , isi file , dan lokasi pada drive
• Pemulihan file dihapus• Ekstraksi dilindungi sandi , terenkripsi , dan data terkompresi• Ekstraksi file slack• Ekstraksi ruang yang tidak terisi
Analisa Data DiekstrakTergantung pada file system pada drive , data diambil dari :• File Aktif• File Dihapus• file slack• ruang file yang tidak dapat dialokasikan
Data diambil di atas digunakan untuk menemukan informasi berikut :• Struktur Direktori• Atribut file• Nama berkas• Tanggal dan waktu perangko• Ukuran file• Lokasi file
Beberapa karakteristik dari data yang dapat dianalisis adalah :• Time frame• Penyembunyian data• Aplikasi dan berkas• Kepemilikan dan kepemilikan
Analisis mungkin memerlukan berikut :• Sebuah tinjauan permintaan untuk layanan• otoritas hukum untuk mencari bukti digital• lead Investigasi• Analytical lead
Metode Analisis Waktu –Frame
1. Yang pertama melibatkan meninjau perangko waktu dan tanggal stempel yang ditemukan dalam metadata file sistem ( misalnya , ketika file yang terakhir diubah , terakhir diakses , dibuat , atau diubah status) .
2. Metode kedua melibatkan meninjau log aplikasi yang ditemukan ( log mungkin termasuk kesalahan log , log instalasi, log koneksi , dan log keamanan ) .
Analisis Data – Menyembunyikan
Analisis data - bersembunyi dilakukan dengan cara berikut :1. Mengidentifikasi ketidaksesuaian antara file header dan
ekstensi file , kehadiran ketidakcocokan menunjukkan sebuah niat jahat untuk menyembunyikan data.
2. Mencoba untuk mengakses semua dilindungi password , dienkripsi , dan file terkompresi , yang menunjukkan bahwa tidak sah pengguna memiliki atau telah mencoba untuk menyembunyikan data dari pengguna yang tidak sah , password itu sendiri mungkin sama relevan sebagai isi file .
3. Menggunakan steganografi , steganografi adalah seni dan proses menyembunyikan informasi dengan melekatkan pesan dalam , pesan tampaknya tidak berbahaya lainnya .
Hasil Aplikasi dan Analisis BerkasHasil ini mungkin menunjukkan bahwa langkah-langkah tambahan yang perlu diambil , seperti :• Meninjau nama file untuk relevansi dan pola• Memeriksa isi file• Mengidentifikasi jumlah dan jenis sistem operasi• Korelasi file ke aplikasi yang terinstal pada komputer target• Mencari kesamaan antara file• Korelasi sejarah Internet untuk file cache , dan e -mail file ke
lampiran e –mail• Mengidentifikasi jenis file yang tidak diketahui untuk
menentukan nilai mereka dengan penyelidikan• Mengidentifikasi keberadaan file dalam lokasi penyimpanan
selain lokasi di mana file biasanya disimpan untuk aplikasi tertentu
• Memeriksa pengaturan pengguna – konfigurasi• Menganalisis metadata file
Kepemilikan dan Kepemilikan
• Faktor-faktor tertentu yang menentukan kepemilikan berpengetahuan data :
• Menempatkan subjek di komputer pada tanggal tertentu dan pada waktu tertentu
• Adanya file di lokasi lain• Adanya data yang tersembunyi• Memulihkan file yang dilindungi sandi atau
dienkripsi akan mengungkapkan kepemilikan file .
• Rincian Kepemilikan file terkadang terkandung dalam file itu sendiri
Mendokumentasikan dan PelaporanPeneliti harus mengambil langkah-langkah berikut selama proses dokumentasi:• Ambil catatan ketika konsultasi dengan penyidik kasus dan /
atau jaksa .• Menjaga salinan otoritas pencarian dengan catatan kasus .• Menjaga permintaan awal untuk bantuan dengan berkas
kasus .• Menjaga salinan dokumentasi lacak balak .• Mencatat cukup rinci untuk memungkinkan duplikasi lengkap
dari tindakan .• Termasuk dalam catatan tanggal , waktu , dan deskripsi dan
hasil tindakan yang diambil .• penyimpangan Dokumen dihadapi dan setiap tindakan yang
diambil mengenai penyimpangan selama pemeriksaan .
• Menyertakan informasi tambahan, seperti topologi jaringan , daftar pengguna yang berwenang , perjanjian pengguna , dan password.
• Perubahan Dokumen dibuat untuk sistem atau jaringan dengan atau arah penegakan hukum atau pemeriksa .
• Dokumen sistem operasi , versi perangkat lunak yang relevan , dan arus patch diinstal .
• Informasi Dokumen yang diperoleh di tempat kejadian mengenai penyimpanan jauh , akses remote user , dan offsite backup .
Laporan AkhirLaporan akhir tersebut harus mencakup :• file spesifik terkait permintaan• File lainnya , termasuk file tersembunyi dan dihapus yang
mendukung temuan• Mempertahankan perilaku profesionalBerkontribusi kepada masyarakat dan berperilaku baik .• Hindari merugikan orang lain .• Bersikaplah jujur dan dapat dipercaya .• Bersikap adil dan tidak membeda-bedakan .• Hormatilah hak milik , hak cipta , dan hak paten .• Memberikan kredit yang tepat untuk properti intelektual .• Menghargai privasi orang lain .
• Honor kerahasiaan .• Menjaga efektivitas dan martabat setiap saat selama
penyelidikan .• Memperoleh dan mempertahankan kompetensi profesional.• Menghormati hukum yang ada yang berkaitan dengan kerja
profesional .• Menerima dan memberikan review profesional yang sesuai .• Pertimbangkan semua fakta yang ada yang berhubungan dengan
TKP.• Hindari bias eksternal untuk menjaga integritas fakta menemukan
dalam semua penyelidikan .• Jauhkan kasus rahasia.• Update perangkat keras komputer dan perangkat lunak , jaringan ,
dan alat-alat forensik dengan terbaru teknologi.• Menjaga lacak balak .• Berikan evaluasi inklusif dan menyeluruh sistem komputer dan
dampaknya, termasuk analisis risiko yang mungkin .• kontrak Honor , perjanjian , dan tanggung jawab yang diberikan .
• Meningkatkan pemahaman publik komputasi dan konsekuensinya .
• sumber daya Akses komputasi dan komunikasi hanya ketika izin diberikan .
• Mengawasi personil dan sumber daya untuk merancang dan membangun sistem informasi yang meningkatkankualitas kehidupan kerja .
• Mengakui dan mendukung pengguna yang tepat dan resmi komputasi organisasi dan sumber daya komunikasi .
• Melakukan sesi dalam organisasi untuk mengetahui tentang prinsip-prinsip dan keterbatasan sistem komputer .
• String pencarian , pencarian kata kunci , dan pencarian teks string
• Bukti yang ditemukan berkaitan dengan penggunaan atau penyalahgunaan internet , seperti analisis lalu lintas situs Web, chat log , cache file , e -mail , aktivitas newsgroup , dan sejarah Internet
• analisis citra Grafis • Indikator kepemilikan , yang dapat mencakup data
registrasi Program• Analisis data• Deskripsi dari aplikasi yang relevan pada item
diperiksa• Teknik yang digunakan untuk menyembunyikan
atau menutupi data, seperti enkripsi , steganografi , atribut tersembunyi, partisi tersembunyi , dan nama file anomali
• bahan pendukung , seperti dokumentasi lacak balak , salinan digital bukti , dan hasil cetak bukti spesifik
Menutup KasusLaporan dasar harus mencakup siapa, apa , kapan, di mana , dan bagaimana . Dalam penyelidikan komputasi yang baik , langkah-langkah yang berulang dan selalu menghasilkan hasil yang sama . Laporan tersebut harus menjelaskan komputer dan proses jaringan dan harus menyertakan file log yang dihasilkan oleh alat forensik untuk melacak semua langkah yang diambil . Peneliti harus mendokumentasikan semua proses yang terkait dengan penyelidikan sehingga dokumentasi dapat digunakan sebagai bukti temuan di pengadilan hukum
Ringkasan■ Mengamankan bukti komputer adalah proses dimana semua informasi yang dimiliki pada komputer akan diambil kemembantu penyelidikan .■ spanduk Sebuah organisasi harus memberikan pemberitahuan yang jelas dan tegas untuk penyusup bahwa dengan penandatanganan kesistem , mereka tegas menyetujui pemantauan .■ Salinan bit-stream adalah salinan bit-by - bit dari media penyimpanan asli dan salinan yang tepat daridisk yang asli .■ Memeriksa bukti-bukti tergantung pada jenis kasus dan media digital yang tersedia di TKP .■ bukti digital harus benar-benar dikaji sehubungan dengan lingkup kasus untuk menentukantindakan .■ Analisis adalah proses menafsirkan data yang diambil untuk menentukan signifikansi mereka untuk kasus ini .
Related Documents
