Foundations of Digital Forensics
Types of Digital Evidence
Tujuan
- Mengidentifikasi dan mengkategorikan berbagai jenis digital evidence
- Memahami karakteristik dan tantangan dari setiap jenis evidence
- Menentukan metode pengumpulan yang tepat untuk setiap jenis evidence
Jenis-Jenis Digital Evidence
1 Disk Evidence
Data yang tersimpan pada hard drive, SSD, perangkat USB, dan storage media lainnya.
Key Artifact:
- File system metadata (NTFS, EXT4, APFS, FAT32)
- Deleted file (dapat dipulihkan dari unallocated space)
- File slack space
- Master File Table (MFT) entries
- Alternate Data Streams (NTFS)
- Partition table dan boot record
Tantangan:
- Perintah SSD TRIM dapat menghapus data yang telah dihapus secara permanen
- Full-disk encryption (BitLocker, LUKS, FileVault)
- Volume yang besar membutuhkan waktu signifikan untuk imaging dan analisis
- Konfigurasi RAID memerlukan penanganan khusus
Metode Pengumpulan
Full disk imaging menggunakan write-blocked hardware
Full disk imaging menggunakan write-blocked hardware
2 Volatile Memory
Data yang hanya ada selama sistem dalam keadaan menyala (RAM).
Key Artifact:
- Running process dan thread
- Koneksi jaringan yang sedang terbuka
- DLL dan driver yang sedang dimuat
- Encryption key di dalam memory
- Isi clipboard
- Command history
- Injected code dan rootkit
Tantangan:
- Sangat volatile – hilang saat sistem dimatikan
- Tool memory acquisition sedikit mengubah isi memory
- Teknik anti-forensics dapat menyembunyikan process
- Ukuran RAM yang besar (64GB+) memperlambat proses acquisition
Metode Pengumpulan
Live memory acquisition menggunakan tool seperti WinPMEM, DumpIt, atau FTK Imager
Live memory acquisition menggunakan tool seperti WinPMEM, DumpIt, atau FTK Imager
3 Logs
Log sistem, aplikasi, dan keamanan yang mencatat berbagai kejadian (event).
Sumber Utama:
| Tipe Log | Lokasi (Windows) | Lokasi (Linux) |
|---|---|---|
| System | Event Viewer (System) | /var/log/syslog |
| Security | Event Viewer (Security) | /var/log/auth.log |
| Application | Event Viewer (Application) | /var/log/ (bervariasi) |
| Web Server | IIS logs | /var/log/apache2/ atau /var/log/nginx/ |
| Firewall | Windows Firewall logs | /var/log/iptables.log |
Windows Event ID Penting:
| Event ID | Keterangan |
|---|---|
| 4624 | Logon berhasil |
| 4625 | Logon gagal |
| 4648 | Logon dengan explicit credential |
| 4672 | Hak istimewa khusus diberikan |
| 4688 | Process baru dibuat |
| 4698 | Scheduled task dibuat |
| 7045 | Service diinstal |
| 1102 | Audit log dihapus |
Tantangan:
- Log dapat dimanipulasi atau dihapus
- Log rotation dapat menimpa data historis
- Timestamp bisa berbeda antar sistem (masalah time zone)
- Verbose logging biasanya dinonaktifkan secara default
Metode Pengumpulan
Export menggunakan KAPE, wevtutil, atau salinan langsung dengan timestamp yang dipertahankan
Export menggunakan KAPE, wevtutil, atau salinan langsung dengan timestamp yang dipertahankan
4 Network Captures
Rekaman lalu lintas jaringan (packet capture).
Key Artifact:
- Full packet capture (PCAP/PCAPNG)
- NetFlow/IPFIX records
- DNS query log
- Data sesi HTTP/HTTPS
- Komunikasi email (SMTP)
- Transfer file (FTP, SMB)
Fokus Analisis:
- Pola Command-and-Control (C2) beaconing
- DNS tunneling / exfiltration
- Indikator lateral movement
- Event unduhan malware
- Volume data exfiltration
Tantangan:
- Traffic yang terenkripsi (TLS/SSL) membatasi visibilitas
- Jaringan dengan volume tinggi menghasilkan capture yang sangat besar
- Keterbatasan kapasitas penyimpanan dan retensi
- Pertimbangan hukum terkait intersepsi konten
Metode Pengumpulan
Wireshark, tcpdump, NetworkMiner, Zeek (Bro)
Wireshark, tcpdump, NetworkMiner, Zeek (Bro)
5 Cloud Artifacts
Evidence yang berasal dari layanan dan infrastruktur cloud.
Sumber Utama:
| Provider | Sumber Log | Isi |
|---|---|---|
| AWS | CloudTrail | API call, management event |
| AWS | VPC Flow Logs | Metadata traffic jaringan |
| Azure | Activity Logs | Event manajemen resource |
| Azure | Sign-in Logs | Event autentikasi |
| GCP | Cloud Audit Logs | Log akses admin dan data |
| M365 | Unified Audit Log | Aktivitas Email, SharePoint, Teams |
Tantangan:
- Model shared responsibility membatasi akses
- Kebijakan retensi log berbeda-beda per provider
- Deployment multi-region memperumit proses pengumpulan
- Resource yang bersifat ephemeral (container, serverless)
- Masalah hukum lintas yurisdiksi
Metode Pengumpulan
Cloud-native API, tool ekspor khusus provider, integrasi SIEM
Cloud-native API, tool ekspor khusus provider, integrasi SIEM
6 Mobile Artifacts
Evidence dari smartphone, tablet, dan perangkat mobile lainnya.
Key Artifact:
- Call log dan pesan SMS/MMS
- Data aplikasi (WhatsApp, Telegram, Signal)
- Riwayat lokasi GPS
- Riwayat koneksi Wi-Fi
- Browser history dan cookie
- Foto beserta EXIF metadata-nya
- Backup perangkat (iTunes, Google)
Tantangan:
- Enkripsi perangkat (aktif secara default di perangkat modern)
- Kunci passcode/biometrik
- Enkripsi di level aplikasi
- Pembaruan OS yang cepat mengubah lokasi artifact
- Cloud sync dapat mengubah evidence lokal
Metode Pengumpulan
Cellebrite UFED, Magnet AXIOM, GrayKey, ekstraksi manual
Cellebrite UFED, Magnet AXIOM, GrayKey, ekstraksi manual
Klasifikasi Evidence
| Tipe | Volatilitas | Volume | Sensitivitas Hukum |
|---|---|---|---|
| Memory | Sangat Tinggi | Sedang | Sedang |
| Network | Tinggi | Sangat Tinggi | Tinggi |
| Logs | Sedang | Sedang | Sedang |
| Disk | Rendah | Sangat Tinggi | Sedang |
| Cloud | Rendah | Tinggi | Tinggi |
| Mobile | Rendah | Sedang | Sangat Tinggi |
Referensi
- NIST SP 800-86
- SANS Evidence Collection Guidelines
- SWGDE Best Practices for Computer Forensics