selama backup dan imaging, integritas media asli harus dipelihara. Untuk memastikan bahwa proses backup atau imaging tidak merubah data pada media yang asli, analis dapat menggunakan write-blocker ketika memback-up atau mengimage media. Write-blocker adalah tool hardware atau software yang mencegah komputer menulis ke media penyimpanan komputer yang terhubung dengannya. Write-blocker hardware secara fisik terhubung ke komputer dan media penyimpanan yang sedang diproses untuk mencegah penulisan apapun ke media tersebut. Write-blocker software diinstalasi pada sistem analis dan saat ini hanya tersedia sistem MS-DOS dan Windows. (Beberapa sistem operasi, misalnya Mac OS dan Linux, mungkin tidak memerlukan write-blocker software karena mereka dapat diset untuk boot ke device sekunder yang belum dikaitkan). Bagaimanapun, memasang suatu alat perangkat keras writeblocking akan memastikan terpeliharanya integritas. Software write-blocker berbasis MS-DOS bekerja dengan menjebak Interrupt 13 dan extended Interrupt 13 disk write. Software writeblocker berbasis Windows menggunakan filter untuk mengurutkan Interrupt yang dikirim ke alat untuk mencegah penulisan ke media penyimpanan.
Secara umum, ketika menggunakan write-blocker hardware, device atau media yang digunakan untuk membaca media harus terhubung langsung ke write-blocker, dan write-blocker harus dihubungkan ke komputer atau device yang digunakan untuk melakukan backup. Ketika menggunakan write-blocker software, softwarenya harus sudah ada dalam komputer sebelum alat atau media yang digunakan untuk membaca media dihubungkan ke komputer itu. Write-blocker dapat juga mengijinkan writeblocking untuk diset on atau off bagi alat tertentu. Adalah penting ketika write-blocking digunakan, ia harus diset on untuk semua alat yang dihubungkan. Write-blocker juga harus diuji secara rutin untuk memastikan bahwa mereka mendukung alat lebih baru. Setelah suatu backup atau imaging dilakukan, penting untuk memverifikasi bahwa data yang disalinkan adalah salinan yang tepat dari data asli. Menghitung message digest data yang disalin dapat digunakan untuk memverifikasi dan memastikan integritas data.
Sebuah message digest adalah sebuah hash yang secara unik mengidentifikasi data dan memiliki sifat yaitu merubah satu bit data akan menghasilkan message digest yang berbeda sama sekali. Terdapat banyak algoritma untuk menghitung message digest data, namun dua buah yang umum digunakan adalah MD5 dan SHA1. Kedua algoritma ini mengambil data masukan dengan ukuran sembarang dan menghasilkan 128-bit message digest untuk MD5, sedangkan SHA1 menghasilkan 160-bit message digest.
Ketika dilakukan image bit stream, message digest media asli perlu dihitung dan disimpan sebelum image dilakukan. Setelah proses imaging, message digest media salinan perlu dihitung juga dan dibandingkan dengan message digest asli untuk memverifikasi bahwa integritas data telah dipelihara. Message digest media asli kemudian perlu dihitung kembali untuk memastikan bahwa proses imaging tidak merubah media asli, dan seluruh hasil harus didokumentasikan. Proses harus dilakukan untuk backup logikal, kecuali bahwa message digests harus dihitung dan dibandingkan untuk setiap file data. Untuk stream images dan logical backups, message digests dibuat untuk memastikan bahwa integritas data harus disimpan pada media readonly atau write-once atau dicetak lalu diamankan pada lokasi yang tepat.
Modifikasi File, Akses, dan Waktu penciptaan
Seringkali penting untuk mengetahui kapan suatu file digunakan atau dimanipulasi, dan kebanyakan sistem operasi mencatat timestamps tertentu yang terkait dengan file. Timestamps yang biasanya digunakan adalah waktu modifikasi, akses, dan penciptaan modification, access, and creation', MAC), sebagai berikut:
• Waktu Modifikasi Ini adalah waktu terakhir file diubah dengan berbagai cara, meliputi ketika suatu file ditulis dan ketika file tersebut diubah oleh program lain.
• Waktu Akses. Ini adalah waktu terakhir dilakukannya akses apapun pada file (misalnya, dilihat, dibuka, dicetak).
• Waktu penciptaan. Ini biasanya merupakan waktu dan tanggal file diciptakan. Bagaimanapun, ketika file disalinkan ke sistem, waktu penciptaan akan menjadi waktu file dicopy ke sistem yang baru.Waktu modifikasi akan tetap utuh.
Filesistem yang berbeda mungkin saja menyimpan jenis waktu yang berbeda. Sebagai contoh, Sistem Windows menyimpan waktu modifikasi terakhir, waktu akses terakhir, dan waktu penciptaan file. Sistem UNIX menyimpan waktu modifikasi terakhir, perubahan inode terakhir, dan waktu akses terakhir, namun beberapa sistem UNIX (termasuk versi BSD dan SunOS) tidak memperbaharui waktu akses terakhir file eksekutabel ketika mereka dijalankan. Beberapa sistem UNIX merekam waktu terkini ketika metadata file diubah. Metadata adalah data tentang data; untuk filesistem, metadata adalah data yang menyediakan informasi mengenai isi file.
Jika suatu analis ingin menetapkan garis waktu yang akurat atas suatu peristiwa, maka waktu file harus dipelihara. Analis harus sadar bahwa tidak semua metode untuk memperoleh file dapat memelihara waktu file. Image bit stream dapat mempertahankan waktu file karena dilakukan penyalinan bit-for-bit; melakukan logical backup menggunakan beberapa tool dapat menyebabkan waktu penciptaan file terubah ketika file data disalinkan. Oleh karena itu, bila waktu file penting, harus digunakan imaging bit stream untuk mengumpulkan data.
Analis juga harus menyadari bahwa waktu file tidak selalu akurat. Beberapa alasan ketidakakuratan itu adalah sebagai berikut:
• Jam komputer tidak mempunyai waktu yang benar itu. Sebagai contoh, jam mungkin tidak selalu disinkronisasi secara teratur dengan sumber waktu resmi.
• Waktu tidak mungkin direkam dengan tingkat detil yang diharapkan, seperti menghilangkan detikatau beberapa menit.
• Penyerang mungkin telah mengubah waktu file yang direkam.
LINK :
1. Bobby Naibaho : Pengumpulan Bukti Digital Forensik
2. Reza Rizky Pradana : Mengumpulkan data
3. Rhiza Pramawesa : File Sistem
1. Bobby Naibaho : Pengumpulan Bukti Digital Forensik
2. Reza Rizky Pradana : Mengumpulkan data
3. Rhiza Pramawesa : File Sistem
