Berikut adalah lima tahapan pemrosesan
barang bukti. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin
(PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:
1.
Persiapan
Sebelum penyelidikan, pastikan
persiapan yang diperlukan. Beberapa panduan:
-
Sterilkan
semua media dari virus.
-
Pastikan
semua tool forensik bisa dipergunakan secara resmi.
-
Periksa
kerja semua peralatan lab
-
Pilih
ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang
baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi
orang lain.
2.
Snapshot
Beberapa panduan:
-
Foto
lingkungan
-
Catat
rinciannya.
-
Foto
barang bukti, misal monitor dan PC.
-
Dokumentasikan
konfigurasi hardware
-
Labeli
barang bukti sesuai metodologi anda
-
Foto
barang bukti lagi setelah dilabeli
-
Dokumentasikan
apa yang terjadi
3.
Transport
Dengan asumsi ijin resmi sudah
diperoleh, tindakan untuk transportasi adalah:
-
Lakukan
pengemasan dengan aman.
-
Foto
dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai
ke lab pengujian .
4.
Persiapan
Berikut adalah
persiapan untuk uji lab:
-
Lakukan unpack sesuai metodologi.
-
Lakukan uji visual dan catat setiap
konfigurasi yang tidak semestinya.
-
Buat image dari hard
disk.
Hal yang penting untuk
diingat:
o
Matikan software virus scanning
o
Catat waktu CMOS (Complementary
Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona
waktu dibutuhkan.
o
Anda bisa membuat image dengan
banyak cara
o
Catat bagaimana image dibuat
o
Pastikan tool untuk image tidak
mengakses sistem file dari media bukti.
Setelah membuat image
simpan barang bukti di tempat aman dan catatlah. Merupakan hal yang baik untuk membuat image kedua.
5.
Pengujian
Ini merupakan tahapan analisis
barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi
(Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya
adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain
yang mengaksesnya.
Analisis forensik
dilakukan pada dua level :
1.
Level fisik, di mana ingin dilihat
cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
2.
Level lojik, misalkan gambar yang
nampak sebagai rangkaian heksadesimal.
Karena tidak bisa
sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian
kepercayaan (chain of evidence) berikut :
1. Shell (termasuk variabel environment)
2. Command
3. Dynamic libraries
4. Device driver
5. Kernel
6. Controller
7. Hardware
Tautan:
FREEZING THE SCENE (Part I) : http://boby-dwicahyo.blogspot.com/2012/10/freezing-scene_19.html
FREEZING THE SCENE (Part II) : http://kerendijawa.blogspot.com/2012/10/bagian-1-klik-disini-bagian-2-beberapa.html
FREEZING THE SCENE (Part IV) : http://hadisaputra3.blogspot.com/2012/10/freezing-scene.html
Tautan:
FREEZING THE SCENE (Part I) : http://boby-dwicahyo.blogspot.com/2012/10/freezing-scene_19.html
FREEZING THE SCENE (Part II) : http://kerendijawa.blogspot.com/2012/10/bagian-1-klik-disini-bagian-2-beberapa.html
FREEZING THE SCENE (Part IV) : http://hadisaputra3.blogspot.com/2012/10/freezing-scene.html
Tidak ada komentar:
Posting Komentar