• Tidak ada hasil yang ditemukan

HARDDISK VOLUME/PARTITION SYSTEM FORENSICS. Universitas Gunadarma Magister Sistem Informasi

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2021

Membagikan "HARDDISK VOLUME/PARTITION SYSTEM FORENSICS. Universitas Gunadarma Magister Sistem Informasi"

Copied!
11
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 11 Halaman )

Teks penuh

(1)

     

 

HARDDISK VOLUME/PARTITION SYSTEM FORENSICS 

 

Universitas Gunadarma 

Magister Sistem Informasi 

 

                              Tugas Matakuliah Teknologi Informasi Lanjut  http://lcpro.wordpress.com/2011/08/05/til‐dr‐tb‐maulana/    Oleh:   Lucky Koryanto  Sriyanto  Yulhendra  Victor Sinaga    Dosen:   Dr. Tb. Maulana Kusuma    Juli 2011   

(2)

PENGANTAR 

 

Forensic  adalah  proses  penggunaan  pengetahuan  ilmiah  dan  teknologi  dalam 

melakukan  investigasi  (mengumpulkan  dan  menganalisis)  sebuah  objek  kemudian  menghasilkan  fakta‐fakta  atau  bukti‐bukti  untuk  digunakan  sebagai  pemeliharaan,  dokumentasi, jawaban pertanyaan atau barang bukti ke pengadilan. Forensik secara  inti  biasanya  berhubungan  dengan  penyelamatan  dan  analisis  barang  bukti  laten.  Barang  bukti  laten  dapat  berbentuk  dalam  banyak  format,  mulai  dari  sidik  jari  di  jendela,  DNA  yang  diperoleh  dari  noda  darah  sampai  file‐file  dalam  media  penyimpanan digital/ komputer.  

 

Digital  Forensic  adalah  proses  forensic  yang  dilakukan  terhadap  objek  berbentuk 

digital  seperti  dokumen,  gambar,  suara,  email  dan  sejenisnya  yang  dapat  diambil  atau  diperoleh  dari  perangkat  komputer  (PC  dan  laptop),  PDA,  blackberry,  smartphone atau jenis perangkat digital dengan kemampuan penyimpanan. Forensic  dapat dilakukan meskipun data telah terhapus atau dihapus dengan sengaja. Dalam  digital forensics dapat mengungkapkan bukti digital misalnya waktu dan tanggal data  atau  informasi  yang  telah  dibuat,  diinstal,  atau  di‐download,  termasuk  kapan  dimodifikasi atau dimanipulasi serta terakhir diakses.  

Seperti  umumnya  ilmu  forensik  lain,  digital  forensik  juga  melibatkan  penggunaan  teknologi  yang  rumit,  peralatan  dan  prosedur  yang  harus  diikuti  untuk  menjamin  ketelitian dari pemeliharaan bukti dan ketelitian hasil.  

 

Bagian  dari  digital  forensik  yang  lebih  spesifik  pada  ruang  lingkup  perangkat  komputer  seperti  PC  (personal  computer)  dan  laptop  disebut  dengan  istilah 

Computer Forensic. Bentuk data digital pada computer forensic dapat berupa file‐file 

wordprocessors,  spreadsheet,  presentasi,  sourcecode  dari  perangkat  lunak,  database, image, sound, e‐mail, bookmark, cookies, calendar, registry dan lainnya.  Selain  computer  forensic,  masih  terdapat  beberapa  bagian  lagi  dari  digital  forensic  seperti  Database  Forensic  yang  lebih  specifik  pada  analisis  database  beserta  metadatanya, Network Forensic yang lebih specifik pada analisis jaringan computer, 

Mobile device Forensic yang lebih specifik pada analisis perangkat mobile. 

  

Secara  terminologi,  Computer  Forensik  adalah  aktivitas  yang  berhubungan  dengan  pemeliharaan,  identifikasi,  pengambilan/penyaringan  dan  dokumentasi  bukti  komputer  dalam  kejahatan  computer  (Computercrime  atau  Cybercrime).  Istilah  ini  relatif  baru  dalam  sektor  privat  beberapa  dekade  ini,  tapi  telah  muncul  diluar  term  teknologi  (berhubungan  dengan  investigasi  dan  investigasi  bukti‐bukti  intelejen  dalam penegakan hukum dan militer) sejak pertengahan tahun 1980‐an. 

(3)

Objek digital merupakan barang bukti yang secara alami bersifat sementara (volatile)  dan  rapuh  serta  mudah  tercemar,  baik  secara  tidak  sengaja  maupun  disengaja.  Kesalahan  kecil  pada  penanganan  objek  bukti  digital  dapat  membuat  objek  bukti  digital  tersebut  berubah,  rusak  atau  hilang  sehingga  tidak  diakui  di  pengadilan.  Langkah pertama untuk menghindarkan dari kondisi‐kondisi tersebut adalah dengan  melakukan pengkopian atau backup secara Bitstream Image pada tempat yang sudah  pasti aman. Bitstream image adalah metode penyimpanan digital dengan mengkopi  setiap bit demi bit dari data orisinil, termasuk file yang tersembunyi (hidden files), file  temporer  (temp  file),  file  yang  terdefragmen  (fragmen  file),  dan  file  yang  belum  teroverwrite, teknik ini umumnya diistilahkan dengan Cloning Disk atau Ghosting.   

 

DASAR DIGITAL INVESTIGATION 

 

Digital  Investigation  adalah  sebuah  proses  pengembangan  dan  pengujian  hipotesis 

dalam  menjawab  pertanyaan  tentang  kejadian/  peristiwa  digital  (digital  evidence).  Hal  ini  diselesaikan  dengan  menggunakan  metode  ilmiah  yaitu  mengembangkan  hipotesis  dari  bukti‐bukti  yang  ditemukan  kemudian  menguji  hipotesis  tersebut  dengan mencari bukti‐bukti tambahan yang dapat menyanggah hipotesis tersebut.  

Digital  evidence  (kejadian/  peristiwa  digital)  adalah  objek  digital  yang  mengandung 

informasi handal yang dapat mendukung atau menyanggah sebuah hipotesis.     Berbagai cara/ prosedur  dapat dilakukan dalam melakukan investigasi digital, salah  satunya adalah Digital Crime Scene Investigation yang menggunakan 3 fase yaitu:    Pada fase system preservation dilakukan pengamanan terhadap kondisi objek digital  seperti dengan cara melakukan pengkopian dan sejenisnya. Diperlukan pengetahuan  tentang  cara  melakukan  full  copy  terhadap  harddisk  atau  media  penyimpanan  sejenisnya. 

 

Fase  berikutnya  evidence  searching  adalah  proses  pencarian  dan  pengumpulan  petunjuk  atau  bukti  yang  berhubungan  (mendukung  atau  menyanggah)  hipotesis  terhadap  peristiwa  yang  terjadi.  Pencarian  dimulai  dari  lokasi  yang  paling  umum  sesuai jenis kejadian, misalnya investigasi terhadap tingkah laku web browser dapat  dilakukan  pada  browser  cache,  history  file  dan  bookmarks.  Pengetahuan  tentang  volume analysis dan file system analysis diperlukan pada fase ini. 

(4)

Fase  terakhir  event  reconstruction  adalah  menggunakan  petunjuk  atau  bukti  yang  telah dikumpulkan untuk menentukan kejadian yang terjadi pada sistem. Pada tahap  ini  diperlukan  pengetahuan  terhadap  aplikasi  dan  OS  yang  terdapat  pada  sistem  sehingga  dapat  dibuat  hipotesis  berdasar  kapasitas  yang  ada.  Misalnya  kejadian‐ kejadian berbeda dapat terjadi dari versi Windows yang berbeda atau versi browser  yang berbeda. 

 

Dalam melakukan digital investigation tentunya harus memiliki pengetahuan terkait  dengan  data  digital  dan  media/  alat  penyimpanannya.  Secara  umum  dalam  melakukan  analisis  terhadap  data  digital  dapat  dimulai  dari  dua  area  yang  independent  yaitu  berdasar  pada  media/  alat  penyimpanan  dan  berdasar  pada  media/ alat komunikasi sesuai gambar berikut ini:                   

Pada  artikel  ini  penulis  mencoba  menjelaskan  hal‐hal  yang  terkait  dengan  analisis  berdasar  pada  media/  alat  penyimpanan,  terkhusus  pada  alat  penyimpanan  yang  non‐volatile misalnya harddisk. Bagian yang akan dijelaskan adalah Volume analysis  dan File System analysis. 

 

Secara  umum  proses  analisis  data  mulai  dari  level  physical  sampai  dengan  level  application dapat digambarkan sebagai berikut:                       

(5)

DASAR SISTEM KOMPUTERISASI 

 

Saat  ini  telah  banyak  tersedia  perangkat  lunak  sebagai  alat  (tools)  yang  dapat  membantu  mempermudah  dan  mempercepat  proses  analisis  dengan  menampilkan  berbagai  informasi  yang  diperlukan.  Akan  tetapi  pengetahuan  dasar  komputerisasi  tetap  diperlukan  oleh  seorang  investigator  digital  untuk  dapat  lebih  memahami  informasi‐informasi yang dihasilkan tools tersebut.  Beberapa dasar komputerisasi yang terkait dengan investigasi digital antara lain:   - sistem bilangan (binary, decimal dan hexadecimal)  - sistem pengkodean bilangan misalnya ASCII  - organisasi data/ struktur data  - proses booting komputer  - teknologi harddisk dan metode penyimpanannya   

Sebagai  seorang  investigator  digital,  harddisk  adalah  media/  alat  yang  merupakan  sasaran  paling  utama  sebagai  sumber  pencarian  fakta‐fakta  atau  bukti‐bukti  digital.  Oleh sebab itu pengetahuan mengenai teknologi harddisk juga diperlukan, misalnya  metode akses, write blocking dan lokasi dimana data dapat disembunyikan. 

 

Secara  umum  sebuah  harddisk  berisi  beberapa  piringan  /  disk  dan  2  head  untuk  setiap piringan. Setiap disk dibentuk secara geometri kedalam track (mulai dari track  0  dan  seterunya).  Satu  posisi  track  yang  sama  pada  dua  sisi  setiap  disk  dikelompokkan sebagai satu cylinder, misalnya track 0 pada dua sisi semua piringan  dikelompokkan sebagai cylinder 0.  

Setiap  track  dibagi  menjadi  beberapa  sector  (mulai  sector  1  dan  seterusnya)  yang  masing‐masing  berukuran  512  bytes.  Pada  harddisk  tipe  lama,  lokasi  sebuah  data  diakses  dengan  metode  CHS  yaitu  penentuan  nomor  cylinder  (mendapatkan  track),  nomor  head  (mendapatkan  piringan/  disk  dan  sisi  atas  atau  bawah)  dan  nomor  sector.  Pada  harddisk  tipe  baru  sudah  menggunakan  metode  LBA  (Logical  Block 

Access) karena metode CHS tidak dapat lagi mendukung harddisk diatas 8.1 GB. Pada 

metode  LBA,  lokasi  sebuah  data  diakses  menggunakan  pengalamatan  tunggal,  misalnya: CHS=0,0,1 adalah LBA=0, CHS=0,0,2 adalah LBA=1 dengan algoritma:  LBA = ( ( ( C * head_per_cylinder ) + H ) * sector_per_track ) + S ‐1   Misalnya: alamat cylinder=2 head=3 sector=4 maka alamat LBA=2208.             

(6)

     

Dalam sebuah harddisk terdapat area yang disebut Host Protected Area (HPA) yaitu  area  khusus  yang  dapat  digunakan  untuk  menyimpan  data  tetapi  area  ini  bersifat  tersembunyi  dan  tidak  terlihat  secara  normal.  Ukuran  area  ini  diatur  dengan  menggunakan  perintah  konfigurasi  dan  biasanya  menggunakan  bagian  akhir  dari  sebuah disk.                Selain itu terdapat pula area yang disebut Device Configuration Overlay (DCO) yang  biasa digunakan untuk menentukan kapasitas maksimun sebuah harddisk yang dapat  digunakan, misalnya harddisk 20GB biasanya yang dapat digunakan pada partisi  hanya 19GB.                  Hal lain yang juga perlu diperhatikan oleh seorang investgator digital terkait teknologi  harddisk adalah jenis‐jenis interface antara lain: AT Attachement (ATA)/ ATA Packet  Interface (ATAPI) yang umum digunakan pada harddisk tipe lama dan CD/DVD drive,  Serial  ATA  (SATA)  telah  digunakan  pada  harddisk  tipe  baru  dengan  kabel  konektor 

yang lebih kecil, Small Computer System Interface (SCSI) yang biasa digunakan pada  computer  server.  Dalam  pengontrolan  harddisk  dapat  menggunakan  metode  Basic 

Input‐Output System (BIOS) dan Direct Access Controller (DAC).           

(7)

ANALISIS VOLUME 

 

Volume  secara  konsep  merupakan  sekumpulan  sector  yang  dapat  diakses  oleh  Operating  System  (OS)  atau  aplikasi  lain  untuk  penyimpanan  data.  Dalam  volume 

dibuat  partition  yang  secara  konsep  merupakan  sekumpulan  sector  yang  saling  berurutan dalam sebuah volume. Secara definisi volume dan partition adalah sama.  Partition  digunakan  untuk  mengorganisasi  layout  dari  sebuah  volume  menjadi  beberapa bagian volume.              Sistem volume dan partisi tergantung dari OS yang digunakan. Di Windows, volume  dapat  diakses  menggunakan  drive  letter  sedangkan  di  UNIX  menggunakan  folder.  Berikut gambar (A) system di Windows dan (B) system di UNIX.                  Pada sistem yang lebih besar, beberapa harddisk dapat dibuat menjadi satu volume.                         

(8)

Disk  yang  diorganisasi  menggunakan  DOS  partition  dari  Microsoft  memiliki  yang  disebut Master Boot Record (MBR) pada 512 byte sector pertama yang menyimpan  informasi boot code, a partition table dan a signature value. 

Boot  code  berada  pada  446  bytes  pertama  MBR  berisi  code  instruksi  yang  memberitahu komputer cara memproses partition table dan menemukan OS.  

Partition  table  berisi  4  entry  untuk  menjelaskan  partisi  DOS  yang  digunakan.  Tiap  entry memiliki field starting CHS address, ending CHS address, starting LBA address,  number of sectors in partition, type of partition dan flags. 

Sebuah  MBR  hanya  dapat  menyimpan  informasi  untuk  4  partition,  sehingga  bila  sebuah volume harddisk membutuhkan lebih dari 4 partisi maka dibentuk extended  partition.            Primary file system  partition adalah  partisi yang entry‐ nya tersimpan  pada MBR dan  mengandung  sebuah file system  atau struktur data  lainnya dan  .  Primary extended  partition adalah  partisi yang entry‐ nya tersimpan pada MBR dan mengandung partisi tambahan.    Secara standar Microsoft, code boot akan memproses partition table untuk mencari  partition yang memiliki bootable flag dan menuju ke alamat sector awal dari partition  tersebut untuk memproses code yang ada disana. 

Untuk  volume  harddisk  yang  memiliki  lebih  ari  satu  OS,  maka  ada  2  metode  pengaksesan MBR, yaitu:  

- Windows  menambah  code  untuk  menampilkan  pilihan  partition  lain  pada  bootable partition. 

- Modifikasi code pada MBR sehingga menampilkan pilihan partition tujuan untuk  booting. 

(9)

Contoh struktur data pada DOS partition table:  Byte Range   Description       Essential  0–445     Boot Code No  446–461   Partition Table Entry #1    Yes  462–477   Partition Table Entry #2    Yes  478–493   Partition Table Entry #3    Yes  494–509   Partition Table Entry #4   Yes  510–511   Signature value (0xAA55)  No    Contoh struktur data pada setiap partition table entry:  Byte Range   Description       Essential  0–0     Bootable Flag       No  1–3     Starting CHS Address     Yes  4–4     Partition Type      No  5–7     Ending CHS Address     Yes  8–11     Starting LBA Address     Yes  12–15     Size in Sectors      Yes   

Sistem  Apple  Macintosh  memiliki  format  yang  disebut  partition  map  yang  cukup  berbeda  dengan  Microsoft.  Pada  sistem  Apple  telah  tersedia  firmware  yang  berisi  code  untuk  memproses  struktur  partisi  yang  ada,  sehingga  partition  map  tidak  menyimpan code seperti pada DOS partition table. 

Setiap  entry  pada  partition  map  menyimpan  informasi  mengenai  sector  awal  dari  partition,  ukuran,  type  dan  volume  name.  Struktur  data  ini  juga  menyimpan  informasi  mengenai  data  yang  ada  didalam  partition  sepert  lokasi  boot  code  dan  lokasi data area. 

Entry  awal  dari  partition  map  berisi  informasi  partition  map  itu  sendiri  beserta  ukuran  maksimun  partition  yang  diperbolehkan.  Apple  juga  membuat  partisi  untuk  menyimpan setiap driver hardware yang ada.                           

(10)

Contoh struktur data pada Apple partition entries: 

Byte Range   Description      Essential 

0–1 Signature value (0x504D) No

2–3 Reserved No

4–7 Total Number of partitions Yes

8–11 Starting sector of partition Yes 12–15 Size of partition in sectors Yes 16–47 Name of partition in ASCII No 48–79 Type of partition in ASCII No 80–83 Starting sector of data area in partition No 84–87 Size of data area in sectors No 88–91 Status of partition (see table 5-8) No 92–95 Starting sector of boot code No 96–99 Size of boot code in sectors No 100–103 Address of boot loader code No

104–107 Reserved No

108–111 Boot code entry point No

112–115 Reserved No

116–119 Boot code checksum No

120–135 Processor type No 136–511 Reserved No      KESIMPULAN DAN SARAN   

Digital  Forensic  adalah  proses  forensic  yang  dilakukan  terhadap  objek  berbentuk  digital  seperti  dokumen,  gambar,  suara,  email  dan  sejenisnya  yang  dapat  diambil  atau  diperoleh  dari  perangkat  komputer  (PC  dan  laptop),  PDA,  blackberry,  smartphone atau jenis perangkat digital dengan kemampuan penyimpanan. 

 

Digital  Investigation  adalah  sebuah  proses  pengembangan  dan  pengujian  hipotesis  dalam menjawab pertanyaan tentang kejadian/ peristiwa digital (digital evidence).  Seorang  digital  investigator  perlu  memiliki  pengetahuan  dasar  komputerisasi  untuk  dapat  mendukung  kegiatan  investigasinya  selain  menggunakan  berbagai  perangkat  lunak sebagai tools. 

Harddisk  adalah  media/  alat  yang  merupakan  sasaran  paling  utama  seorang  digital  investigator sebagai sumber pencarian fakta‐fakta atau bukti‐bukti digital. 

  

Artikel  ini  membahas  secara  umum  konsep‐konsep  yang  terkait  dengan  teknologi  harddisk  yang  perlu  dipahami  dalam  melakukan  investigasi  antara  lain:  struktur  geometri  harddisk  dan  sistem  volume/  partition  pada  harddisk.  Pembahasan  lebih  detail dapat dilihat pada referensi buku “File System Forensic Analysis ‐ Brian Carrier” 

(11)

 

Untuk  lebih  melengkapi  pengetahuan  terkait  terknologi  harddisk  untuk  digital  forensic  dapat  membaca  konsep  lanjut  mengenai:  File  system  analyst  (FAT,  NTFS,  ext2  &  ext3,  ufs2  &  ufs3)    yang  juga  terdapat  pada  buku  “File  System  Forensic  Analysis”.      REFERENSI    Antisipasi Cybercrime Menggunakan Teknik Komputer Forensik, Yudi Prayudi, Dedy 

Setyo  Afrianto,  Seminar  Nasional  Aplikasi  Teknologi  Informasi  2007  (SNATI  2007) 

Yogyakarta, 16 Juni 2007    Digital Forensics ‐ http://blog.binadarma.ac.id/nayel/?p=122    Computer Forensics ‐ http://en.wikipedia.org/wiki/Computer_forensics    Database Forensics ‐ http://en.wikipedia.org/wiki/Database_forensics    Network Forensics ‐ http://en.wikipedia.org/wiki/Network_forensics    File System Forensic Analysis, Brian Carrier, Addison Wesley Professional 

Referensi

Unduh sekarang ( PDF - 11 Halaman - 259.51 KB )

Dokumen terkait

PERATURAN DAERAH KABUPATEN SRAGEN NOMOR 2 TAHUN 2013 TENTANG PENANGGULANGAN KEMISKINAN DENGAN RAHMAT TUHAN YANG MAHA ESA BUPATI SRAGEN,

Program penanggulangan kemiskinan adalah kegiatan yang dilakukan oleh pemerintah, pemerintah daerah, dunia usaha, serta masyarakat untuk meningkatkan kesejahteraan

BAGIAN III: EKONOMI POLITIK SEKTOR PUBLIK

publik merupakan pengeluaran yang signifikan. Konflik antara barang ekonomi dan politik mempunyai beberapa masalah yaitu ketidaktahuan rasional, minat khusus, dan

Informasi Pendaftaran Hubungi

Program belajar Matematika Nalaria Realistik yang dapat diselenggarakan diberbagai sekolah, setelah guru di sekolah tersebut mendapatkan pelatihan. khusus dan izin

PENGARUH ARUS LISTRIK, OFFTIME PULSE, DAN DISCHARGE GAP PADA ELECTRICAL DISCHARGE MACHINING TERHADAP LAJU KEAUSAN ELEKTRODA CHROMIUM-COPPER SKRIPSI

Skripsi berjudul ” Pengaruh Arus Listrik, Offtime Pulse, dan Discharge Gap pada Electrical Discharge Machining terhadap Laju Keausan Elektroda Chromium-

STANDARISASI RESEP KUE INTI DI BIRUGO KECAMATAN AUR BIRUGO TIGO BALEH KOTA BUKITTINGGI

Berdasarkan hasil uji organopleptik standar resep kue inti yang telah di konversikan dengan 4 kali pengulangan ditemukan kualitas dari kue inti di lihat dari

RILIS NILAI KELULUSAN PROGRAM TAHSIN AL-QUR'AN SEMESTER GANJIL TAHUN AKADEMIK NO NAMA NIM GROUP NILAI AKHIR KET

[r]

SKRIPSI ANALISIS KUALITAS LIMBAH CAIR HASIL PEMBAKARAN SAMPAH TPST BANTARGEBANG MENGGUNAKAN ALAT PEMBAKAR SAMPAH TANPA ASAP ASTRI SOLA

Untuk mengetahui kualitas limbah cair hasil dari proses pembakaran sampah TPST Bantargebang menggunakan alat pembakar sampah tanpa asap dengan parameter pH, BOD,

PEMERINTAH KABUPATEN KAYONG UTARA

Dalam rangka mengoptimalkan pembinaan, pengawasan dan pengendalian terhadap peningkatan kegiatan usaha guna mencegah timbulnya gangguan dan pencemaran lingkungan

Image