Berikut
adalah kegiatan-kegiatan yang semestinya dilakukan oleh analis forensik dan
investigator ketika menemukan barang bukti komputer dalam keadaan menyala ( on
) di TKP. Prinsip dari kegiatan ini adalah berusaha untuk mendapatkan data-data
investigatif (yang berkaitan dengan kejahatan) seefisien mungkin ( cepat dan
tepat ) dengan perubahan isi hardisk seminimum mungkin.
1.
Catat apa yang sedang running dan tampak di layar
monitor dari barang bukti komputer.
2.
Catat spesifikasi teknis dari barang bukti komputer
tersebut, termasuk mencatat tanggal/waktu dari komputer tersebut, kemudian
bandingkan dengan tanggal/waktu lokal yang sebenarnya.
3.
Lakukan fotografi forensik.
4.
Catat keterangan saksi-saksi yang menjelaskan hal-hal
terkait barang bukti komputer tersebut.
5.
Lakukan triage firensic dengan triage tools yang sudah
disiapkan sebelumnya.
Pada
tahapan triage ini, analis forensik dan investigator sangat memungkinkan untuk
mendapatkan banyak data secara cepat yang berkaitan dengan investigasi kasus
computer crime atau computer related time, sehingga dengan cepat pula investigator
dapat menentukan tahapan investigasi lebih lanjut.
Salah
satu tahapan triage yang sangat penting yang seharusnya dilakukan oleh analis
forensik atau investigator adalah melakukan RAM imaging, yaitu suatu proses
forensic imaging ( penggandaan secara physical bit per bit ) terhadap RAM (
Random Access Memory ) dari barang bukti komputer yang dalam keadaan on, RAM
ini menyimpan banyak informasi dari semua proses dan aplikasi yang sedang
running ( berjalan ) sejak komputer dihidupkan. Informasi ini bisa jadi sangat
dibutuhkan oleh investigator untuk bahan investigasi lebih lanjut.
Selain
RAM imaging, analis forensik dan investigator bisa mendapatkan data-data yang
masih tersimpan di komputer :
1.
Encrypted files, yaitu mencari file-file enskripsi yang
mungkin dalam keadaan yang sudah dienskripsi oleh pelaku. Jika ini terjadi,
maka inilah kesempatan yang sangat baik dan tepat bagi analis forensik dan
investigator untuk mendapatkan isi dari file-file enskripsi tersebut.
2.
Informasi sistem, seperti jenis sistem operasi,
processor, ukuran RAM, tanggal/waktu, merek, model, serial number,
aplikasi-aplikasi yang terinstal, proses-proses yang sedang berjalan, dan
lain-lain.
3.
File history, seperti recent files ( yaitu file-file
yang diakses beberapa waktu terakhir ) dan opened files ( yaitu file-file yang
diakses mulai dari selesainya instalasi sistem operasi hingga saat terkini ).
4.
Internet Browser History, yaitu rekaman/catatan ketika
sedang surfing ( bermain ) di internet
dari browser, seperti Internet Explorer, Firefox, Safari, dan Opera.
5.
On/off hisroty, yaitu rekaman/catatan kapan komputer
tersebut on dan off.
6.
Contents searching, yaitu melakukan perncarian terhadap
isi dari suatu file tertentu secara cepat.
7.
RAM mapping, yaitu melihat pemetaan RAM yang dialokasikan
untuk proses-proses atau aplikasi yang sedang running.
8.
USB history, yaitu rekaman/catatan penggunaan port USB
( Universal Serial Bus ) yang digunakan untuk mengakses media penyimpanan data
seperti flashdisk, harddisk, memory card ( lewat card reader ) , atau bahkan
handphone / smartphone.
9.
Password dumping, yaitu mendapatkan password dari
internet browser yang digunakan untuk memasukkan user ID dan password secara
online dan tersimpan di browser.
Kegiatan
- kegiatan triage di atas harus dipahami oleh analis forensik dan investigator
bahwa hal tersebut sangat mungkin mengubah isi dari harddisk barang bukti
komputer. Oleh karena itu, pelaksanaan triage harus dilakukan secara hati-hati
dan harus mampu memahami apa saja isi harddisk yang mungkin akan berubah ketika dilakukan oleh
triage. Dengan demikian , sudah semestinya analis forensik dan investigator
memahami dulu secara mendetail dan jelas mengenai triage sebelum melakukannya.
Sumber : Digital Forensic Panduan Praktis
Investigasi Komputer
karya Muhammad Nur Al-Azhar
Tidak ada komentar:
Posting Komentar