Foundations of Digital Forensics
The Forensic Process
Tujuan
- Menjelaskan setiap fase dari the forensic process
- Menerapkan metodologi yang tepat di setiap tahap
- Memahami pentingnya pendekatan yang terstruktur
Enam Fase The Forensic Process
1 Identification
Langkah pertama adalah mengenali bahwa sebuah insiden telah terjadi dan mengidentifikasi sumber-sumber evidence yang potensial.
Aktivitas:
- Menentukan ruang lingkup insiden
- Mengidentifikasi semua sumber evidence potensial (perangkat, log, network capture)
- Memprioritaskan evidence berdasarkan volatilitas (yang paling volatile terlebih dahulu)
- Mendokumentasikan kondisi awal sebelum proses pengumpulan dimulai
Order of Volatility (RFC 3227):
- CPU registers dan cache
- Routing table, ARP cache, process table, kernel stats
- Memory (RAM)
- Temporary file system
- Disk drive
- Remote logging dan monitoring data
- Konfigurasi fisik dan network topology
- Archival media (backup, tape)
2 Preservation
Memastikan bahwa evidence tidak diubah, rusak, atau dihancurkan.
Aktivitas:
- Mengisolasi sistem yang terdampak (pemutusan jaringan jika diperlukan)
- Mengaktifkan write-blocking pada storage device
- Memfoto kondisi fisik lokasi kejadian
- Mendokumentasikan kondisi sistem yang sedang berjalan (screenshot, process list)
- Mengamankan lingkungan fisik
Pertimbangan Penting:
⚠️ Perhatian:
- JANGAN mematikan sistem yang sedang berjalan sebelum melakukan capture volatile data terlebih dahulu
- Gunakan write-blocker untuk semua akses disk
- Jaga kondisi lingkungan penyimpanan (suhu, kelembapan untuk physical media)
3 Acquisition
Membuat salinan forensik yang identik dari evidence.
Jenis-Jenis Acquisition:
| Tipe | Deskripsi | Kasus Penggunaan |
|---|---|---|
| Physical | Salinan bit-for-bit dari seluruh drive | Analisis disk secara menyeluruh |
| Logical | Salinan file atau partisi tertentu | Investigasi yang bersifat targeted |
| Sparse | Salinan data yang teralokasi saja | Drive berukuran besar, waktu terbatas |
| Live | Capture dari sistem yang sedang berjalan | Volatile data, encrypted drive |
Tools:
- FTK Imager – Tool imaging berbasis GUI
- dd / dc3dd – Disk imaging berbasis command-line
- Guymager – Forensic imager berbasis Linux
- KAPE – Rapid triage dan artifact collection
Format Image:
- E01 (EnCase format) – Mendukung kompresi dan metadata
- AFF4 – Advanced Forensic Format
- Raw/dd – Bit-for-bit, tanpa kompresi
Contoh Perintah:
# Membuat forensic image dengan dc3dd
dc3dd if=/dev/sda of=evidence.dd hash=sha256 log=acquisition.log
# Membuat E01 image dengan ewfacquire
ewfacquire /dev/sda -t evidence -f encase6 -c deflate:best
4 Analysis
Memeriksa evidence yang telah diperoleh untuk mengungkap temuan yang relevan.
Teknik Analysis:
- Timeline Analysis: Merekonstruksi urutan kejadian menggunakan file timestamp (MACB)
- Keyword Search: Mencari istilah tertentu di seluruh disk image
- File Carving: Memulihkan file yang dihapus dari unallocated space
- Artifact Analysis: Memeriksa OS-specific artifact (registry, event log, prefetch)
- Hash Analysis: Membandingkan file hash dengan database known good/bad (NSRL, VirusTotal)
- Signature Analysis: Mengidentifikasi file berdasarkan header/magic byte terlepas dari ekstensinya
MACB Timestamps:
| Huruf | Arti | Keterangan |
|---|---|---|
| M | Modified | Konten terakhir diubah |
| A | Accessed | Konten terakhir dibaca |
| C | Changed | Metadata terakhir diubah (NTFS: MFT entry) |
| B | Born | Waktu pembuatan file |
5 Documentation
Mencatat semua temuan, metode, dan kesimpulan selama investigasi berlangsung.
Yang Perlu Didokumentasikan:
- Setiap tindakan yang dilakukan selama investigasi
- Tools yang digunakan (nama, versi, konfigurasi)
- Catatan penanganan evidence
- Temuan analisis beserta evidence pendukungnya
- Nilai hash di setiap tahap
- Penyimpangan dari prosedur standar beserta alasannya
Format Documentation:
- Contemporaneous notes (dicatat saat investigasi berlangsung)
- Laporan forensik formal
- Evidence log
- Formulir chain of custody
- Screenshot dengan anotasi
6 Presentation
Menyampaikan temuan kepada para pemangku kepentingan dengan cara yang sesuai.
Audiens:
| Audiens | Fokus | Format |
|---|---|---|
| Tim Teknis | Temuan detail, IOC, rekomendasi | Technical report |
| Manajemen | Dampak bisnis, risiko, biaya remediasi | Executive summary |
| Hukum/Pengadilan | Integritas evidence, metodologi, kesimpulan | Expert testimony |
Tips Presentation:
- Sesuaikan bahasa dengan audiens yang dituju
- Gunakan visual aid (timeline, diagram, chart)
- Siap untuk mempertahankan metodologi yang digunakan
- Berpegang pada fakta dan hindari spekulasi
- Bedakan dengan jelas antara temuan dan opini
🧪 Latihan Praktik
Gunakan kerangka the forensic process untuk merencanakan investigasi pada skenario berikut:
Skenario: Sebuah perusahaan mencurigai seorang karyawan telah melakukan exfiltration data keuangan sensitif kepada kompetitor. Karyawan tersebut menggunakan laptop Windows milik perusahaan dan memiliki akses ke shared network drive.
- Sumber evidence apa saja yang akan kamu identifikasi?
- Bagaimana cara kamu melakukan preservation terhadap evidence?
- Metode acquisition apa yang akan kamu gunakan?
- Teknik analysis apa yang akan kamu terapkan?
- Bagaimana cara kamu mendokumentasikan temuan?
- Kepada siapa temuan tersebut akan kamu presentasikan?
Referensi
- RFC 3227: Guidelines for Evidence Collection and Archiving
- NIST SP 800-86
- SANS Forensic Process Guidelines