Jumat, 19 Oktober 2012

FREEZING THE SCENE (Part III)



Berikut adalah lima tahapan pemrosesan barang bukti. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1.        Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
-           Sterilkan semua media dari virus.
-           Pastikan semua tool forensik bisa dipergunakan secara resmi.
-           Periksa kerja semua peralatan lab
-           Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.

2.        Snapshot
Beberapa panduan:
-           Foto lingkungan
-           Catat rinciannya.
-           Foto barang bukti, misal monitor dan  PC.
-           Dokumentasikan konfigurasi hardware
-           Labeli barang bukti sesuai metodologi anda
-           Foto barang bukti lagi setelah dilabeli
-           Dokumentasikan apa yang terjadi

3.        Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
-           Lakukan pengemasan dengan aman.
-           Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian .

4.        Persiapan
Berikut adalah persiapan untuk uji lab:
-           Lakukan unpack sesuai metodologi.
-           Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
-           Buat image dari hard disk.
Hal yang penting untuk diingat:
o    Matikan software virus scanning
o    Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan.
o    Anda bisa membuat image dengan banyak cara
o    Catat bagaimana image dibuat
o    Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
Setelah membuat image simpan barang bukti di tempat aman dan catatlah. Merupakan hal yang baik untuk membuat image kedua.

5.        Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level :
1.        Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
2.        Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut :
1. Shell (termasuk variabel environment)
2. Command
3. Dynamic libraries
4. Device driver
5. Kernel
6. Controller