BEDAH KOMPUTER FORENSIK
6.1 Belajar dari Pengetahuan IT
Memantau aktifitas sistem akan sangat menarik, terlebih lagi jika mencurigai gerak-gerik seseorang yang memakai computer yang sama dengan anda. Banyak hal mungkin ditemukan, misalnya saja beberapa website “terlalang” yang diakses, atau history dari file-file “miring” yang di-download, bahkan pesan e-mail yang masih tersimpan dalam temporary internet file, pasti membangkitkan rasa ingin tahu. Dalam hal ini, tidak di anjurkan untuk memata-matai aktifitas orang lain sebagai media pembelajaran.
Tentu Anda pernah menghapus file, bahkan mengosongkan keranjang sampah (recycle bin). File yang telah terhapus tersebut tidak sepenuhnya hilang dalam hard disk, masih dimungkinkan untuk mendapatkan kembali informasi seperti itu mengskipun recycle bin sudah dalam keadaan kosong. Tidak harus menggunakan software forensic spesifik untuk mendapatkan informasi yang sudah terhapus, program utilitas yang dibuat systematic, misalnya, mampu mendapatkan kembali file yang sudah terhapus karena data-data tersebut sebenernya masih ada pada hard disk.
Anda juga mungkin sering men-download program dari internet, seperti file gambar, lagu, movie. Bukankah lebih nyaman jika menggunakan software khusus untuk men-download-nya ?
Software demiklian akan mendokumentasikan secara rapi aktifitas anda di dalamanya. Coba perhatikan salah satu software download, yakni GetRight. URL download pun tercatat, memudahkan anda untuk men-download dan memudahkan pula bagi examiner untuk menulusuri aktivitas berkomputer.
6.2 Windows Registry
Sewaktu anda mengakses registry windows dalam proses forensic, anda sebenernya sedang melakukan pembedahan computer forensic. Jika sistem operasi windows registry, perilaku aplikasi, proses dari sistem operasi komponen lain yang terlibat, seperti data, dan ragam aktivitas pengguna yang melibatkan perangkat keras dan perangkat lunak.
Registry merupakan konfigurasi sistem yang substansial dan merupakan single logical data store. Pada dasarnya dibagi ke dalam tiga database yang terpisah, dilokasikan untuk menangani :
1. user
2. sistem
3. pengaturan dan kebijakan pada jaringan computer (network policies)
Berdasarkan apa yang di katakan The Microsoft Computer Dictionary, Fifth Edition, registry adalah “pusat” database hierarkis yang digunakan pada Microsoft Windows 9x, Windows CE, Windows NT, dan Windows 2000 untuk menyimpan informasi penting dalam mengkonfigurasi sistem yang melibatkan user, aplikasi/software, dan hardware.
Registry terdiri dari tujuh root key atau hives. Dapat anda lihat pada gambar, bahwa key tersebut diawali dengan kata “HKEY” (handle to a key). Dari key yang ada, hanya dua saja yang dikatakan sebagai registry yang sebenarnya, yang lain hanyalah pengembangan yang merupakan shortcut yang mengacu pada dua hives ini.
Tujuh key dalam registry ditampilkan dan dijelaskan sebagi berikut:
1. HKEY_USERS, berisi informasi mengenai user, mengcakup pula generic user.
2. HKEY_LOCAL_MACHINE, hive yang teridiri dari informasi sepesifik computer yang berhubungan dengan langsung sistem operasi
3. HKEY_CLASSES_ROOT, informasinya tergolong sama dengan reg.dat.
4. HKEY_CURRENT_USER, key ini berisi informasi sepesifik user yang diciptakan sewaktu user login ke sistem yang di bangun pada awalnya dengan informasi yang umum pada key HKEY_USERS
5. HKEY_CURRENT_CONFIG, key ini menyimpan informasi konfigurasi sistem saat ini.
6. HKEY_DYN_DATA, berisi status dinamis informasi yantuk perangkat/devices yang menggunakan arsitektur plug-and-play.
7. HKEY_PERFORMACE_DATA, key ini menyediakan dukungan untuk sistem monitoring didasarkan pada karnel Windows NT.
Singkatan
|
Root key(hives)
|
HKU
|
HKEY-USERS
|
HKLM
|
HKEY_LOCAL_MACHINE
|
HKCR
|
HKEY_CLASSES_ROOT
|
HKCU
|
HKEY_CURRENT_USER
|
HKCC
|
HKEY_CURRENT_CONFIG
|
HKDD
|
HKEY_DYN_DATA
|
HKPD
|
HKEY_PERFORMANCE_DATA
|
File registry disimpan pada lokasi yang berbeda, bergantung pada sistem operasi windows yang digunakan, misalnya saja :
1. sistem operasi windows 3.x pada c:\windows\reg.dat.
2. sistem operasi windows 98 pada c:\windows.
3. sistem operasi windows NT pada c:\winnt\system32\config.
4. sistem operasi windows xp pada c:\windows\system32\config.
6.3 Informasi Esensial pada Registry
Kita langsung saja melihat apa saja yang disimpan pada registry, telepas dari hal-hal teknis yang anda pelajari kemudian berkenaan registry dan masing-masing hive-nya.
Bila yang terbiasa mengakses registry, akan sulit memilah-milah informasi yang ingin dipindai dari registry beberapa aplikasi dengan antarmuka grafis memberikan kemudahan guna membaca informasi registry.
Misalnya PassView software yang meng-eksplorasi informasi pada registry tadi, dan software ini mampu memberikan informasi berikut:
1. outlook Password
2. password autocomplete pada internet explorer
3. password protected pada internet explorer
4. password MSN explorer
Untuk meilhat aplikasi yang dijalankan sewaktu sistem opeasi dijalankan (start up), informasinya tersimpan pada beberapa registry key sebagai berikut :
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
2. HKLM\SPFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
3. HKLM\Software\Microsoft\ Windows\CurrentVersion\Run
4. HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\Run
5. HKCU\Software\Microsoft\Windows\CurrentVersion\run
6. HKCU\Software\Microsoft\Windows\CurrentVersion\RunOne
7. ProfilePatStartMenu\Program\Startup\
6.4 Informasi dari Software Forensik
Komputer desktop sudah menjadi perangkat teknologi informasi dan komunikasi yang banyak digunakan, setiap orang mengingini satu bagi dirinya. Ini terbukti dengan banyaknya pengguna computer rumahan dan perkantoran desktop dalam beraktifitas. Salah satu aplikasi yang digunakan dalam mengakses informasi yang terdokumentasi demikian dengan menggunakan software Total Recall. Salah satu forensic analysis tool gratis yang digunakan untuk merekonstruksi aktivitas.
Total Recall mampu merekontruksi aktivitas yang terjadi pada Microsoft Internet Explorer(MS IE), mencakup pula aktivias pengguna computer yang dimaksud. Pada dasarnya, aktivitas internet disimpan oleh Microsoft Internet Explorer dan disimpan pada file index.dat
Informasi seputar user data, internet cookies, dan internet history dapat ditemukan pada folder di users profile. Aktivitas lain, misalnya browser activity file (aktifitas mengakses konten internet via web browser), disimpan dalam bentuk biner. Untuk mudahnya, dibutuhkan perangkat lunak khusus untuk membaca infromasi tersebut.
Beberapa investigasi yang dilakukan oleh program ini antara lain:
1. aktivitas user pada internet explorer.
2. Internet explorer history.
3. Internet explorer cookies.
4. Favortites pada Internet Explorer.
5. aktifitas pemakai, yang mencakup :
- File temporer yang tidak dihapus dan masih tersimpan di computer.
- file yang baru di akses.
Informasi dapat dieskpor dalam bentuk file .XML(extensible markup language) dan .TXT(teks).
6.5 Kasus Nyata Komputer Forensik
Berikut dipercontohkan sebuah kasus dan proses forensic yang dilalui untuk mengungkap fakta sehubungan pornografi anak, dan beginilah pada dasarnya ahli forensic bekerja dan mendokumentasikan semua aktifitasnnya.
Catatan:
Material ini dibuat oleh U.S. Department of Justice yang termasuk public domain yang dapat dipergunakan tanpa melanggar hak kekayaan intelektual.
Ringkasan Kasus : Pornografi Anak
Subject : seseorang yang merupakan pemilik perusahaan X(subject) memerintahakan karyawannya untuk mengirimkan kompyer laptop kepada salah seorang karyawan untuk dibawa perusahaan service computer Mom & Pop. Perbaikan ditujukan karena masalah pada monitor.
Untuk memastikan bahwa laptop berhasil diperbaiki, maka sudah menjadi prosedur pada Mom & Pop untuk melakukan pengecekan dengan terlebih dahulu mengakses start bar dari windows 98 dan file untuk di tampilkan.
Alhasil, salah satu file yang dilihat adalah gambar anak-anak yang memperlihatkan aksi seks. Perushaan lalu melaporkan ke pihak berwajib. Laptop itu lalu di sita petugas dengan keberaadan material seks, dan ini adalah langkah pertama sebagai aksi dari investigasi aksi criminal.
Laptop dijadikan barang bukti sesuai kebijakan lembaga hokum. Computer di serahkan untuk pemeriksaan.
Tujuan (objectives) : untuk menentukan apakah subject memiliki pornografi anak.
Jenis komputer (computer type) : Laptop generic, serial#123456789.
Sistem operasi (operating system) : Microsoft windows 98.
Petugas (case agent) : investigator Johnson.
Nomor bukti (evidence number) : 012345
Chain of custody : lihat formulir terlampir.
Lokasi pemeriksaan berlangsung (where examination took place) : Unit investigasi criminal.
Peralatan yang digunakan (tools used) : disk acquisition utility, universal graphic viewer, command line.
Langkah selanjutnya (next step) :
Mewawancarai karyawan yang memberikan computer laptop ke mom & pop. Sang karyawan dinyatakan tidak pernah mengoprasikan computer.
Subject pernah memperlihatkan pada sang karyawan perihal gambar seksual yang melibatkan anak-anak pada laptop nya.
Subject mengatakan kepada karyawan bahwa dia menyimpan gambar-gambar serupa pada disket dirumah; subject lupa bahwa ada satu gambar masih tersimpan pada laptop.
Ringkasan kasus: aksi pencurian
Seorang warga negara menghubungi departemen kepolisian perihal dugaan barang curian.
Tujuan (Objective)
Mencari tau apakah menggunakan computer laptop sebagai alat dalam tindak kejahatan pecurian kendaraan bermotor penipuan, pemalsuan, membuat dukumen palsu perihal kendaraan curian.
Jenis computer : gateway solo 9100 notebook computer
System oprasi: Microsoft windows 98
Pelanggaran : pencurian kendaraan bermotor, penipuan, pemalsuan, membuat dokumen palsu kepemilikan kendaraan bermotor.
Petugas : petugas divisi pencurian kendaraan bermotor.
Nomor bukti : 012345.
Lokasi pemeriksaan berlangsung : labolatorium computer forensic
Peralatan yang digunakan : guidance software encase, digit, jasc software quick view plus, and accesdata password recovery tool kit.
Proseder pemprosesan
1. Peninjauan dokumentasi yang di berikan penyidik.
2. Penyidik computer forensic bertemu dengan agen yang menangani kasus tersebut.
3. Bukti lengkap di berikan.
4. Kasus diteruskan ke penyidik computer.
Pemberlakuan “image”file pada notebook:
1. Computer notebook diperiksa dan di foto.
2. Membuat file yang berisi “image” perihal hardisk notebook menggunakan aplikasi encase.
Pemeriksaan :
1. Computer labolatorium menggunakan menggunakan os windows 98, app encase dan program perangkat lunak forensic lain nya.
2. Bukti dari computer notebook disalin menggunakan encase.
3. Bukti hasil pemindahan encase diperiksa menggunakan encase.
4. Uncallocated clusters disimpan pada hard disk yang masih kosong.
5. File yang di proteksi disimpan pada floppy disk.
Dokumentasi dan pelaporan :
1. Laporan forensik.
2. Laporan kepolisian.
3. Hasil kerja.
Hasil akhir didapati:
Tersangka akhirnya mengaku bersalah dan dalam pemenjaraan.
