Berikut adalah kegiatan-kegiatan yang semestinya dilakukan oleh analis forensik dan investigator ketika menemukan barang bukti komputer dalam keadaan menyala (on) di TKP. Prinsip dari kegiatan ini adalah berusaha untuk mendapatkan data-data investigatif (yang berkaitan dengan kejahatan) seefisien mungkin (cepat dan tepat) dengan perubahan isi harddisk seminimum mungkin.
-
Catat apa yang
sedang running dan tampak di layar monitor dari barang bukti
komputer.
-
Catat spesifikasi
teknis dari barang bukti komputer tersebut seperti penjelasan
sebelumnya, termasuk mencatat tanggal/waktu dari komputer tersebut
yang biasanya berada di pojok kanan bawah, kemudian bandingkan
dengan tanggal/waktu lokal yang sebenarnya.
-
Lakukan fotografi
forensik seperti yang telah dijelaskan sebelumnya. Ditambahkan untuk
melakukan fotografi tanggal/waktu dari komputer tersebut
disandingkan dengan jam yang menunjukkan waktu lokal yang
sebenarnya. Ini sangat dibutuhkan untuk menunjukkan seberapa jauh
perbedaan antara tanggal/waktu komputer dengan tanggal/waktu yang
sebenarnya. Hal ini sangat erat kaitannya dengan time stamps dari
s\ia.tu file yang menjadi temuan digitalnya. Time stamps tersebut
berupa created date (yaitu, tanggal pertama kali file tersebut
dibuat dan tercatat di file system yang sedang berjalan), modified
date (yaitu tanggal terakhir kali file tersebut dimodifikasi, dan
tercatat, bisa di file system sebelumnya atau yang sedang berjalan),
dan accessed date (yaitu, tanggal terakhir kali file diakses dan
tercatat di file system yang sedang berjalan).
-
Catat keterangan
saksi-saksi yang menjelaskan hal-hal terkait barang bukti komputer
tersebut.
-
Lakukan triage
forensik dengan bantuan triage tools yang sudah disiapkan sebelumnya
Pada tahapan triage ini, analis forensik dan investigator sangat
memungkinkan untuk mendapatkan banyak data secara cepat yang
berkaitan dengan investigasi kasu computer crime atau
computer-related crime, sehingga dengan cepat pula, investigator
dapat menentukan tahapan investigasi lebih lanjut secara benar..
Salah
satu tahapan triage yang sangat penting yang seharusnya dilakukan
oleh analis forensik atau investigator adalah melakukan RAM imaging,
yaitu suatu proses forensic imaging (penggandaan secara physical bit
per bit) terhadap RAM (Random Access Memory) dari barang bukti
komputer yang dalam keadaan on. RAM ini menyimpan banyak informasi
dari semua proses dan aplikasi yang sedang running (berjalan) sejak
komputer dihidupkan. Informasi ini bisa jadi sangat dibutuhkan oleh
investigator untuk bahan investigasi lebih lanjut. Selain RAM
imaging, analis forensik dan investigator bisa mendapatkan data-data
yang masih tersimpan di komputer tersebut secara cepat berikut:
-
Encrypted files, yaitu mencari file-file enkripsi yang mungkin dalam keadaan sudah dideskripsi oleh pelaku. Jika ini terjadi, maka inilah kesempatan yang sangat baik dan tepat bagi analis forensik dan investigator untuk mendapatkan isi dari file-file enkripsi tersebut.
-
Informasi sistem, seperti jenis sistem operasi, processor, ukuran RAM, tanggal/ waktu, merek, model, serial number, aplikasi-aplikasi yang ter-install, proses- proses yang sedang berjalan, dan lain-lain.
-
File history, seperti recent files (yaitu, file-file yang diakses beberapa waktu terakhir) dan opened files (yaitu, file-file yang diakses mulai dari selesainya instalasi sistem operasi hingga saat terkini).
-
Internet browser history, yaitu rekaman/catatan ketika sedang surfing (bermain) di internet dari browser, seperti Internet Explorer, Firefox, Safari, dan Opera.
-
On/off history, yaitu rekaman/catatan kapan komputer tersebut on dan off.
-
Contents searching, yaitu melakukan pencarian terhadap isi dari suatu file tertentu secara cepat.
-
RAM mapping, yaitu melihat pemetaan RAM yang dialokasikan untuk proses- proses atau aplikasi yang sedang running.
-
USB history, yaitu rekaman/catatan penggunaan port USB (Universal Serial Bus) yang digunakan untuk mengakses media penyimpanan data seperti flashdisk, harddisk, memory card (lewat card reader), atau bahkan handphone/smartphone.
-
Password dumping,
yaitu mendapatkan password dari internet browser yang digunakan
untuk memasukkan user ID dan password secara online dan tersimpan di
browser.
Berikut adalah tahapan-tahapan yang dikerjakan ketika analis forensik atau investigator
mendapati barang bukti komputer dalam keadaan mati (off) di TKP.
- Pastikan komputer tersebut dalam keadaan mati, yaitu dengan cara menggeser mouse sedikit atau melihat lampu indikator power. Ini dilakukan untuk memastikan bahwa komputer tersebut tidak dalam keadaan stand-by atau hibernasi.
- Catat spesifikasi teknis dari barang bukti komputer, misalnya: merek, model, dan serial number (S/N) atau product number (P/N).
- Lakukan fotografi forensik terhadap barang bukti komputer tersebut, dilengkapi dengan nomor, skala ukur, dan label. Fotografi forensik ini mencakup foto umum (yaitu menjelaskan TKP secara keseluruhan), foto menengah (yaitu, menjelaskan hubungan barang bukti elektronik dengan benda-benda di sekitarnya), dan foto close up (yaitu foto khusus terhadap barang bukti tersebut). Foto-foto tersebut diusahakan diambil dari empat arah yang berbeda. Untuk foto close up, juga lakukan fotografi terhadap name plate yang biasanya terletak di sisi bawah atau belakang.
- Catat keterangan saksi mengenai hal-hal yang berhubungan dengan barang bukti komputer tersebut.
- Bungkus barang bukti komputer tersebut, kemudian beri catatan di sisi luarnya untuk menandakan jenis komputer yang berada di dalam bungkusan tersebut. Untuk hal-hal yang sifatnya mendesak, bisa saja barang bukti komputer tersebut tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dengan menggunakan sticker label kosong.
- Isi formulir penerimaan barang bukti. Tulis dengan jelas tanggal dan tempat TKP serta spesifikasi teknis dari masing-masing barang bukti elektronik dan ditandatangani oleh investigator dan analis forensik.
- Bawa barang bukti komputer tersebut berikut catatan-catatan dan foto-fotonya ke laboratorium untuk pemeriksaan dan analisis lebih lanjut.
- Catatan Penting:
jangan pernah menghidupkan kembali-barang bukti komputer yang
ditemukan dalam keadaan sudah mati (off) karena sama artinya dengan
investigator/ analis melakukan kontaminasi terhadap isi harddisk
dari komputer tersebut.
Mita Anjani,13142023,IF7B1
Suryayusra,M.Kom
.,CCNA
informatika,ilmu
komputer , universitas Bina Darma
www.bina
darma.ac.id
Tidak ada komentar:
Posting Komentar