Prosedur Penangganan TKP komputer ON & OF (merujuk materi 3&4)

 
Berikut adalah kegiatan-kegiatan yang semestinya dilakukan oleh analis forensik dan investigator ketika menemukan barang bukti komputer dalam keadaan menyala (on) di TKP. Prinsip dari kegiatan ini adalah berusaha untuk mendapatkan data-data investigatif (yang berkaitan dengan kejahatan) seefisien mungkin (cepat dan tepat) dengan perubahan isi harddisk seminimum mungkin.

1. Catat apa yang sedang running dan tampak di layar monitor dari barang bukti komputer.
   
2. Catat spesifikasi teknis dari barang bukti komputer tersebut seperti penjelasan sebelumnya, termasuk mencatat tanggal/waktu dari komputer tersebut yang biasanya berada di pojok kanan bawah, kemudian bandingkan dengan tanggal/waktu lokal yang sebenarnya.
   
3. Lakukan fotografi forensik seperti yang telah dijelaskan sebelumnya. Ditambahkan untuk melakukan fotografi tanggal/waktu dari komputer tersebut disandingkan dengan jam yang menunjukkan waktu lokal yang sebenarnya. Ini sangat dibutuhkan untuk menunjukkan seberapa jauh perbedaan antara tanggal/waktu komputer dengan tanggal/waktu yang sebenarnya. Hal ini sangat erat kaitannya dengan time stamps dari s\ia.tu file yang menjadi temuan digitalnya. Time stamps tersebut berupa created date (yaitu, tanggal pertama kali file tersebut dibuat dan tercatat di file system yang sedang berjalan), modified date (yaitu tanggal terakhir kali file tersebut dimodifikasi, dan tercatat, bisa di file system sebelumnya atau yang sedang berjalan), dan accessed date (yaitu, tanggal terakhir kali file diakses dan tercatat di file system yang sedang berjalan).
   
4. Catat keterangan saksi-saksi yang menjelaskan hal-hal terkait barang bukti komputer tersebut.
   
5. Lakukan triage forensik dengan bantuan triage tools yang sudah disiapkan sebelumnya Pada tahapan triage ini, analis forensik dan investigator sangat memungkinkan untuk mendapatkan banyak data secara cepat yang berkaitan dengan investigasi kasu computer crime atau computer-related crime, sehingga dengan cepat pula, investigator dapat menentukan tahapan investigasi lebih lanjut secara benar..
   

Salah satu tahapan triage yang sangat penting yang seharusnya dilakukan oleh analis forensik atau investigator adalah melakukan RAM imaging, yaitu suatu proses forensic imaging (penggandaan secara physical bit per bit) terhadap RAM (Random Access Memory) dari barang bukti komputer yang dalam keadaan on. RAM ini menyimpan banyak informasi dari semua proses dan aplikasi yang sedang running (berjalan) sejak komputer dihidupkan. Informasi ini bisa jadi sangat dibutuhkan oleh investigator untuk bahan investigasi lebih lanjut. Selain RAM imaging, analis forensik dan investigator bisa mendapatkan data-data yang masih tersimpan di komputer tersebut secara cepat berikut:

1. Encrypted files, yaitu mencari file-file enkripsi yang mungkin dalam keadaan sudah dideskripsi oleh pelaku. Jika ini terjadi, maka inilah kesempatan yang sangat baik dan tepat bagi analis forensik dan investigator untuk mendapatkan isi dari file-file enkripsi tersebut.
2. Informasi sistem, seperti jenis sistem operasi, processor, ukuran RAM, tanggal/ waktu, merek, model, serial number, aplikasi-aplikasi yang ter-install, proses- proses yang sedang berjalan, dan lain-lain.
3. File history, seperti recent files (yaitu, file-file yang diakses beberapa waktu terakhir) dan opened files (yaitu, file-file yang diakses mulai dari selesainya instalasi sistem operasi hingga saat terkini).
4. Internet browser history, yaitu rekaman/catatan ketika sedang surfing (bermain) di internet dari browser, seperti Internet Explorer, Firefox, Safari, dan Opera.
5. On/off history, yaitu rekaman/catatan kapan komputer tersebut on dan off.
6. Contents searching, yaitu melakukan pencarian terhadap isi dari suatu file tertentu secara cepat.
7. RAM mapping, yaitu melihat pemetaan RAM yang dialokasikan untuk proses- proses atau aplikasi yang sedang running.
8. USB history, yaitu rekaman/catatan penggunaan port USB (Universal Serial Bus) yang digunakan untuk mengakses media penyimpanan data seperti flashdisk, harddisk, memory card (lewat card reader), atau bahkan handphone/smartphone.
9. Password dumping, yaitu mendapatkan password dari internet browser yang digunakan untuk memasukkan user ID dan password secara online dan tersimpan di browser.
   

Berikut adalah tahapan-tahapan yang dikerjakan ketika analis forensik atau investigator
mendapati barang bukti komputer dalam keadaan mati (off) di TKP.

1. Pastikan komputer tersebut dalam keadaan mati, yaitu dengan cara menggeser mouse sedikit atau melihat lampu indikator power. Ini dilakukan untuk memastikan bahwa komputer tersebut tidak dalam keadaan stand-by atau hibernasi.
2. Catat spesifikasi teknis dari barang bukti komputer, misalnya: merek, model, dan serial number (S/N) atau product number (P/N).
3. Lakukan fotografi forensik terhadap barang bukti komputer tersebut, dilengkapi dengan nomor, skala ukur, dan label. Fotografi forensik ini mencakup foto umum (yaitu menjelaskan TKP secara keseluruhan), foto menengah (yaitu, menjelaskan hubungan barang bukti elektronik dengan benda-benda di sekitarnya), dan foto close up (yaitu foto khusus terhadap barang bukti tersebut). Foto-foto tersebut diusahakan diambil dari empat arah yang berbeda. Untuk foto close up, juga lakukan fotografi terhadap name plate yang biasanya terletak di sisi bawah atau belakang.
4. Catat keterangan saksi mengenai hal-hal yang berhubungan dengan barang bukti komputer tersebut.
5. Bungkus barang bukti komputer tersebut, kemudian beri catatan di sisi luarnya untuk menandakan jenis komputer yang berada di dalam bungkusan tersebut. Untuk hal-hal yang sifatnya mendesak, bisa saja barang bukti komputer tersebut tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dengan menggunakan sticker label kosong.
6. Isi formulir penerimaan barang bukti. Tulis dengan jelas tanggal dan tempat TKP serta spesifikasi teknis dari masing-masing barang bukti elektronik dan ditandatangani oleh investigator dan analis forensik.
7. Bawa barang bukti komputer tersebut berikut catatan-catatan dan foto-fotonya ke laboratorium untuk pemeriksaan dan analisis lebih lanjut.
8. Catatan Penting: jangan pernah menghidupkan kembali-barang bukti komputer yang ditemukan dalam keadaan sudah mati (off) karena sama artinya dengan investigator/ analis melakukan kontaminasi terhadap isi harddisk dari komputer tersebut.
   

Mita Anjani,13142023,IF7B1

Suryayusra,M.Kom .,CCNA

informatika,ilmu komputer , universitas Bina Darma

www.bina darma.ac.id