Berikut ini adalah lima tahapan pemrosesan barang bukti dari
penanganan insiden forensik freezing the scene :
1.Persiapan
1.Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan.Beberapa panduan:
•Sterilkan semua media dari virus.
•Pastikan semua tool forensik bisa dipergunakan secara resmi.
•Periksa kerja semua peralatan lab
•Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan.
Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2.Snapshot
Beberapa panduan dari snapshot:
•Foto lingkungan
•Catat rinciannya.
•Foto barang bukti, misal monitor dan PC.
•Dokumentasikan konfigurasi hardware
•Labeli barang bukti sesuai metodologi anda
•Foto barang bukti lagi setelah dilabeli
•Dokumentasikan apa yang terjadi
3.Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
•Lakukan pengemasan dengan aman.
•Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian
4.Persiapan Lab
Berikut adalah persiapan untuk uji lab:
•Lakukan unpack sesuai metodologi.
•Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
•Buat image dari hard disk. Hal yang penting untuk diingat:
*Matikan software virus scanning
*Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususny asaat zona waktu
dibutuhkan.
*Anda bisa membuat image dengan banyak cara
*Catat bagaimana image dibuat
*Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
•Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
•Merupakan hal yang baik untuk membuat image kedua.
5.Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux,
Windows).Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan,
sehingga memastikan tidak ada orang lain yang mengaksesnya.
Analisis forensik dilakukan pada dua level :
1.Level fisik, di manaingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation
table biasanya disebut system area.
2.Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.
Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of
evidence) berikut :
1.Shell (termasuk variabel environment)
2.Command
3.Dynamic libraries
4.Device driver
5.Kernel
6.Controller
7.Hardware
Pembahasan sebelumnya bisa dilihat pada:
Part 2 : Kunci Utama Forensik IT
Part 3 : Penanganan Insiden Forensik
Part 4 : Penanganan Insiden Forensik (Lanjutan)
Part 6 : Contoh Kasus IT Forensik
Part 7 : Kaitan Contoh kasus IT Forensik
Tidak ada komentar:
Posting Komentar