Senin, 30 November 2015

EVIDENCE LOCATION

Tidak seperti pada kasus pencarian barang bukti pada umumnya, penemuan barang bukti digital memerlukan cara dan metode tertentu. Karena barang bukti digital ini mempunyai sifat dan karakteristik tertentu, sehingga diperlukan keahlian khusus dari seorang investigator forensik dalam menganalisis barang bukti digital.

      Dalam buku nya yang berjudul Digital Forensik : Digital Evidence in Criminal Investigation , Angus M. Marshal(2008), membagi lokasi terdapatnya bukti digital dalam 4 jenis utama , yaitu  :

1. Live Data
Merupakan informasi/data yang tampil dalam format tertentu yang dapat diakses oleh pengguna secara langsung karena informasi ini dibuat oleh sistem operasi yang digunakan. Karena sistem operasi yang mencatat proses pembuatan, modifikasi dan pengaksesan. Maka pada live data dikenal beberapa timestamps atau pencatatan waktu. Secara umum timestamp dibagi menjadi tiga jenis yang umum yaitu,
    1. Modified, merupakan bagian timestamp yang menjelaskan kapan terakhir kali data diubah dan atau disimpan.
    2. Accessed, merupakan bagian timestamp yang menjelaskan kapan terkahir kali data di akses.
    3. Created, merupakan waktu pertama kali file atau data di buat atau diciptakan.
2. Delete Data
Sebagian besar sistem operasi tidak benar-benar menghapus data yang dihapus, dan hal itu sangat menguntungkan para investigator forensic. Sistem operasi, biasanya menandai sebuah area perangkat penyimpan untuk ditempati oleh data yang telah dihapus, sehingga dapat digunakan kembali. Hal ini dilakukan karena, secara historis, menghapus data adalah tugas sulit dan memakan waktu yang lama maka jauh lebih mudah untuk hanya menandai ruang sebagai ruang tersedia untuk digunakan kembali atau menimpa data tersebut bila diperlukan.

3. Swap Space
Konsep dari swap place adalah, ketika kita menjalankan sebuah program secara multitasking , maka program yang berjalan dibawah program utama akan menyimpan secara otomatis pada suatu area yang disebut swap place, dan saat program tersebut kembali dibuka, fungsi-fungsi dari program itu akan tetap berjalan.

Proses swapping benar-benar otomatis dan di bawah kendali perangkat lunak. Pengguna biasanya hanya dapat memilih berapa banyak ruang disk yang dapat digunakan sebagai ruang swap, tetapi tidak dapat memilih program atau potongan data yang akan bertukar keluar/masuk.

4. Slack Space.
Slack Space merupakan sisa ruang alokasi pada pengalokasian file. Biasanya slack space tercipta ketika sebuah file dibuat. Secara teknis, slack sendiri merupakan sebuah ruang atau area sektor yang tidak sepenuhnya ditimpa oleh file baru saat menulisnya ke disk. Sebagai contoh jika data kira berukuran 16K sedangkan sektor kita adalah 64K. Maka besarnya slack space adalah 48K.

Sumber : 
Marshall, A.M., 2008. Digital Forensics : Digital Evidence in Criminal Investigation. Jonh wiley & Sons, Ltd. West Sussex, UK,

Tidak ada komentar:

Posting Komentar