Analisis & Ringkasan Materi
Akuisisi Bukti Digital: Disk dan File System Forensics
Dalam era digital, bukti digital telah menjadi komponen penting dalam menyelidiki kasus kejahatan siber. Namun, mengumpulkan dan memverifikasi bukti digital dapat menjadi tugas yang kompleks dan memerlukan keahlian khusus. Dalam modul ini, kita akan membahas tentang akuisisi bukti digital, yaitu proses mengumpulkan dan memverifikasi bukti digital dari media penyimpanan.
Akuisisi bukti digital adalah langkah penting dalam forensik digital, karena dapat membantu investigators memahami jejak digital yang ditinggalkan oleh pelaku kejahatan. Dalam proses ini, investigators harus mengumpulkan dan memverifikasi bukti digital dengan akurat, untuk memastikan bahwa bukti tersebut dapat digunakan sebagai bukti yang kuat di pengadilan.
Metode Akuisisi Utama
Ada beberapa metode akuisisi utama yang digunakan dalam forensik digital, yaitu:
* Raw/dd Imaging: Metode ini menciptakan salinan bitwise tanpa kompresi dari media penyimpanan sumber, sehingga menciptakan duplikasi sempurna setiap bit data.
* Format E01 (EnCase): Format ini menggunakan kompresi dan metadata tambahan untuk menjaga integritas bukti digital.
* AFF (Advanced Forensic Format): Format ini menggunakan kompresi dan metadata lengkap, sehingga ideal untuk berbagai skenario investigasi.
Pentingnya Verifikasi Data
Verifikasi data adalah langkah penting dalam akuisisi bukti digital, karena dapat membantu investigators memastikan bahwa bukti digital yang dikumpulkan tidak terkontaminasi atau dimodifikasi. Hash MD5 dan SHA-256 dapat digunakan untuk memastikan integritas bukti digital, dan verifikasi dapat mencegah kontaminasi dan modifikasi bukti selama proses akuisisi.
Proses Imaging dan Verifikasi
Proses imaging dan verifikasi melibatkan beberapa langkah, yaitu:
1. Akuisisi disk: Membuat salinan bitwise dari media penyimpanan sumber.
2. Generate hash: Menghitung MD5/SHA dari image hasil.
3. Verifikasi: Membandingkan hash untuk memastikan integritas bukti digital.
Struktur File System dan Artefak
Struktur file system dan artefak adalah komponen penting dalam forensik digital, karena dapat membantu investigators memahami jejak digital yang ditinggalkan oleh pelaku kejahatan. File system seperti NTFS, FAT, dan ext4 memiliki struktur yang berbeda-beda, dan metadata seperti Master File Table (MFT) dan $LogFile dapat digunakan untuk memahami jejak digital yang ditinggalkan oleh pelaku kejahatan.
File Carving dan Recovery
File carving dan recovery adalah teknik ekstraksi data canggih untuk mengungkap file yang tersembunyi atau terhapus dari media penyimpanan. Teknik ini menggunakan signature unik file (header/footer) untuk identifikasi dan rekonstruksi data yang hilang. File carving populer seperti header-footer carving, structure-based carving, dan content-based carving dapat digunakan untuk mengungkap file yang tersembunyi atau terhapus.
Langkah-Langkah Mitigasi
Untuk menghindari kontaminasi dan modifikasi bukti digital, investigators harus mengikuti langkah-langkah mitigasi berikut:
1. Gunakan write-blocker aktif saat membuat salinan bitwise dari media penyimpanan sumber.
2. Verifikasi hash MD5/SHA-256 dari image hasil dan bandingkan dengan hash asli.
3. Dokumentasikan hasil untuk chain of custody.
4. Gunakan Foremost atau Autopsy untuk melakukan file carving dan recovery.
Dengan mengikuti langkah-langkah mitigasi di atas, investigators dapat memastikan bahwa bukti digital yang dikumpulkan akurat dan dapat digunakan sebagai bukti yang kuat di pengadilan.
Materi presentasi lengkap tersedia untuk diunduh: