Disk Forensik merupakan bagian dari komputer forensik yang telah memiliki banyak perkembangan, terutama melibatkan berbagai bentuk media penyimpanan. Salah satu ilmu forensik ini sudah terdokumentasi dengan baik, sehingga beberapa profrsional di bidang IT dapat menyelesaikan masalah ini. Pekerjaan di bidang disk forensik ini antara lain adalah
- Mengubah partisi harddisk agar data tidak mudah dilihat oleh orang lain,
- Melacak kapan sebuah data dihapus dan mendapatkan kembali file-file yang sudah dihapus oleh pengguna sebelumnya yang merupakan pelaku kejahatan tersebut.
- Memodifikasi ataupun dapat mengembalikan password yang hilang, data yang hilang dan sebagainya.
- Melihat transaksi yang sedang berlangsung dalam sebuah jaringan komputer.
Semua hal tersebut dapat dilakukan dengan memanfaatkan beberapa tool pendukung, baik berupa software maupun hardware.
sumber :
http://blog.ephi.web.id/?p=1047, Tanggal Akses: 22 Oktober 2011
Time
Time pada Komputer Forensik berhubungan dengan waktu kejadian dimana data atau file terakhir kali dimodifikasi atau diakses. MAC ( Modified Access Creation ) merupakan tool yang sangat berguna untuk menemukan perubahan file yang dapat digunakan untuk membuat time lining atau garis waktu dari setiap kejadian yang ada.
M-times berisi informasi tentang kapan file dimodifikasi terakhir kali, dan A-times mengandung informasi waktu akses terakhir ( membaca atau mengeksekusi ), dan C-times berisi waktu terakhir status file diubah. Setelah tanggal, waktu dan ukuran file, terdapat tiga digit field yang berisikan indikasi mengenai waktu terkait, apakah M-times, B-times, C-times atau kombinasi ketiganya.Perubahan MAC diorganisasikan dengan tanggal dan waktu. Dari daftar tersebut seorang dapat menentukan apakah file berada pada direktori tersebu, waktu file dibuat dan terakhir dimodifikasi serta diakses.
Ketika file dihapus pada sebuah operating sistem, maka yang dihapus hanyalah pointer ke file yang menunjukkan bahwa ruang memory yang digunakan oleh file tersebut bebas untuk digunakan lagi, sedangkan isi file tidak terhapus. TASK atau TCT dapat digunakan untuk mengidentifikasi file yang terhapus, memperoleh kemabali file tersebut dan memasukkan file tersebut sebagai bagian dari time line berdasarkan MAC time. Jika MAC time dari file yang terhapus overlap dengan periode waktu seorang penyerang masuk ke sistem, maka perubahan file tersebut dapat dikaitkan dengan orang tersebut. Jika hanya berkaitan dengan MAC time suatu file tunggal, maka instruksi UNIX start dapat digunakan.
Tidak ada komentar:
Posting Komentar