Forensic: Proses Komputer Forensik
Investigasi forensik komputer biasanya mengikuti proses atau fase forensik digital standar yaitu akuisisi, pemeriksaan, analisa, dan pelaporan. Investigasi dilakukan pada data statis (yaitu image yang diperoleh) bukan "live" sistem. Ini adalah perubahan dari praktik forensik awal di mana kurangnya tool khusus menyebabkan para penyidik umumnya bekerja pada "live" data.
Teknik Komputer Forensik
Ada sejumlah teknik yang dapat digunakan untuk investigasi forensik komputer dan banyak yang telah ditulis tentang berbagai teknik yang digunakan oleh penegak hukum secara khusus. Contoh yang menarik bisa di cari di Internet dengan judul, "Defending Child Pornography Cases".
Cross-drive analysis
Teknik forensik yang menghubungkan informasi yang ditemukan pada beberapa hard drive. Proses-nya, masih dalam penelitian, dapat digunakan untuk mengidentifikasi jejaring sosial untuk melakukan deteksi anomali.
Live analysis
Pemeriksaan komputer dari dalam sistem operasi menggunakan forensik khusus atau tool sysadmin yang ada untuk mengekstrak bukti. Praktek ini berguna ketika berhadapan dengan Encrypting File System, misalnya, di mana kunci enkripsi dapat dikumpulkan dan, dalam beberapa kasus, volume hard drive logical dapat peroleh image-nya (dikenal sebagai live akuisisi) sebelum komputer dimatikan.
Deleted file
Teknik umum yang digunakan dalam forensik komputer adalah pemulihan file yang dihapus. Perangkat lunak forensik modern memiliki tool sendiri untuk memulihkan atau merekonstruksi data yang dihapus. Sebagian besar sistem operasi dan sistem file tidak selalu menghapus data file fisik, sehingga peneliti dapat merekonstruksinya dari sektor disk fisik. Pengarsipan file melibatkan pencarian header file yang dikenal dalam disk image dan merekonstruksi bahan yang dihapus.
Stochastic forensics
Suatu metode yang menggunakan sifat-sifat stochastic dari sistem komputer untuk menyelidiki aktivitas yang kurang / sulit memperoleh jejak digital. Penggunaan utamanya adalah untuk menyelidiki pencurian data.
Steganography
Salah satu teknik yang digunakan untuk menyembunyikan data adalah melalui steganografi, proses menyembunyikan data di dalam gambar atau image digital. Contohnya adalah menyembunyikan gambar porno anak-anak atau informasi lain agar tidak terlihat oleh orang lain, selain penjahat tertentu. Profesional forensik komputer dapat melawan ini dengan melihat hash file dan membandingkannya dengan gambar asli (jika tersedia.) Sementara gambar tampak persis sama, hash berubah ketika data berubah.
Volatile data
Saat menyita barang bukti, jika mesin masih aktif, informasi apa pun yang disimpan dalam RAM yang belum pulih sebelum mematikan mungkin hilang. Salah satu aplikasi "live analisis" adalah untuk memulihkan data RAM (misalnya, menggunakan tool COFEE Microsoft, windd, WindowsSCOPE) sebelum menghapus live data. CaptureGUARD Gateway melewati Windows login untuk komputer yang di lock, memungkinkan untuk analisis dan perolehan memori fisik pada komputer yang di lock.
RAM dapat dianalisis untuk konten sebelumnya setelah daya hilang, karena muatan listrik yang tersimpan dalam sel memori membutuhkan waktu untuk menghilang, sebuah efek yang dieksploitasi oleh cold boot attack. Lamanya waktu data tersebut dapat dipulihkan ditingkatkan oleh suhu rendah dan tegangan sel yang lebih tinggi. Memegang unpowered RAM di bawah −60 ° C membantu mempertahankan sisa data yang cukup besar, meningkatkan peluang keberhasilan pemulihan. Namun, itu menjadi tidak praktis untuk dilakukan selama pemeriksaan lapangan.
Beberapa tool yang diperlukan untuk mengekstrak data volatile, bagaimanapun, mengharuskan komputer berada di laboratorium forensik, baik untuk mempertahankan bukti yang sah, dan untuk memfasilitasi penyidik untuk bekerja pada mesin. Jika perlu, penegak hukum menerapkan teknik untuk memindahkan komputer desktop yang sedang beroperasi. Ini termasuk mouse jiggler, menggerakkan mouse dengan cepat dalam gerakan kecil dan agar komputer tidak sleep secara tidak sengaja. Biasanya, uninterruptable power supply (UPS) dapat menyediakan daya selama transit.
Namun, salah satu cara termudah untuk mengambil data adalah dengan benar-benar menyimpan data di RAM ke disk. Berbagai sistem file yang memiliki fitur penjurnalan seperti NTFS dan ReiserFS menyimpan sebagian besar data RAM pada media penyimpanan utama selama operasi, dan file-file halaman tersebut dapat disusun kembali untuk merekonstruksi apa yang ada dalam RAM pada waktu itu.
Tool Analisa
Ada sejumlah tool open source dan komersial untuk penyelidikan forensik komputer. Analisis forensik biasanya mencakup tinjauan secara manual materi di media, meninjau registri Windows untuk informasi mencurigakan, menemukan dan meretas password, pencarian kata kunci untuk topik yang terkait dengan kejahatan, dan mengekstrak e-mail dan gambar untuk ditinjau.