Pendahuluan Tantangan forensik adalah untuk mengidentifikasi, melestarikan, mengumpulkan, dan menafsirkan bukti dengan benar. Dalam bab ini, kita akan melihat lebih dekat di banyak artefak tersebut, tujuan dan signifikansi forensik.
Data Dihapus Untuk rata-rata pengguna , menekan tombol delete memberikan rasa yang memuaskan untuk keamanan. Dengan klik mouse, kita berpikir data kami selamanya dilenyapkan , tidak pernah lagi untuk melihat data tersebut lagi, menekan tombol hapus tidak melakukan apa pun untuk data itu sendiri . Itu file tidak pergi ke mana saja . " Menghapus " file hanya memberitahu komputer bahwa ruang diduduki oleh file tersebut tersedia jika komputer membutuhkannya . Data yang dihapus akan tetap sampai file lain yang ditulis. Hal ini dapat mengambil beberapa waktu, jika dilakukan sama sekali.
Hibernation File ( HIBERFILE.SYS ) Sleep Modus tidur ini dimaksudkan untuk menghemat energi , tetapi juga dimaksudkan untuk mendapatkan komputer kembali ke operasi secepat mungkin.
Hibernation Hibernasi adalah juga modus hemat daya tetapi dimaksudkan untuk laptop dari desktop . Hal ini di sini bahwa kita mulai melihat beberapa potensi manfaat investigasi .
Hybris Sleep Seperti namanya , tidur hibrida merupakan perpaduan dari dua mode sebelumnya dan dimaksudkan terutama untuk desktop . Ini membuat jumlah minimal daya yang digunakan untuk RAM ( melestarikan data dan aplikasi ) dan menulis data ke disk .
Registry Windows Registry memainkan peran penting dalam pengoperasian PC.Microsoft TechNet mendefinisikan registri sebagai " hanya sebuah database untuk file konfigurasi. " Anda juga bisa menggambarkannya sebagai sistem saraf pusat komputer . Dalam konteks itu , Anda dapat melihat betapa pentingnya registri ke komputer Windows.
DARI KASUS FILES : THE WINDOWS REGISTRY Windows Registry membantu aparat penegak hukum di Houston , Texas retak kasus kartu kredit . Dalam hal ini , nomor kartu kredit dicuri tersangka adalah digunakan untuk membeli barang-barang dari Internet . Dua tersangka dalam kasus ini , yang sudah menikah. Pasangan ini ditangkap setelah penurunan terkendali barang dipesan dari Internet. Pemeriksaan NTUSER.DAT komputer , Registry , dan Dilindungi Penyimpanan informasi Provider System, menemukan daftar beberapa lainnya nama, alamat , dan nomor kartu kredit yang mana yang digunakan secara online untuk membeli item
Recycle Bin Bypass Jika pemeriksa mencurigai bahwa sistem telah ditetapkan untuk memotong recycle bin , pertama hal mereka akan memeriksa akan registri . The " NukeOnDelete " Nilai akan diatur ke" 1 " menunjukkan bahwa fungsi ini telah diaktifkan ( Lihat Gambar 5.1 . )
Meta Data Metadata yang paling sering didefinisikan sebagai data tentang data . Odds yang Anda telah dating di metadata di beberapa titik . Anda mungkin tidak tahu bahwa apa yang Anda melihat . Ada dua rasa metadata jika Anda akan: aplikasi dan file yang sistem . Ingat , sistem file melacak file dan folder kita juga karena beberapa informasi tentang mereka . File sistem metadata termasuk tanggal dan waktu file atau folder telah dibuat , diakses , atau dimodifikasi . Jika Anda mengklik kanan pada file dan pilih "Properties ", Anda dapat melihat tanggal / waktu prangko ini
Gambar 5.2
Menghapus Meta Data Meskipun metadata yang digunakan untuk menjadi salah satu rahasia terbaik yang terjaga kami , itu tidak ada lagi. Para penjahat bukan satu-satunya memperhatikan. Korporasi , hokum perusahaan , dan warga negara hanya beberapa orang-orang khawatir tentang metadata dan informasi yang terkandung di dalamnya . Ini keprihatinan yang sah sedang ditangani dengan benar-benar menghapus metadata sebelum berbagi file-file dengan orang lain . Banyak alat yang ada hanya untuk tujuan itu . Sebagai contoh , firma hukum rutin menggosok metadata dari semua dokumen outbound , seperti yang ditransmisikan melalui e -mail . Bagi individu yang berpikiran privasi , versi yang lebih baru Microsoft Word memiliki kemampuan untuk mendeteksi dan menghapus metadata .
Gambar
Gambar 5.3
Gambar 5.4
DARI FILES KASUS : METADATA Metadata dapat membantu peneliti mengidentifikasi semua tersangka dalam kasus dan memulihkan lebih banyak bukti . Ambil kasus ini dari Houston , Texas mengenai produksi kartu kredit palsu . Para tersangka dalam kasus ini digunakan " skim " informasi kartu dalam proses produksi kartu mereka . Kartu kredit " skimming " adalah ketika pencuri ambil data dari strip magnetik di belakang kartu kredit dan debit . ini sering terjadi selama transaksi yang sah , seperti ketika Anda menggunakan kartu Anda untuk membayar untuk makan malam . Setelah mengidentifikasi tersangka utama mereka, polisi menangkapnya dan menggeledah komputernya . Pada akhirnya , pencarian komputer mengecewakan . Pencarian hanya menemukan satu dokumen Microsoft Word yang berisi " skim " informasi. Selain itu , pencarian tempat tinggal tidak menemukan hardware skimmer dan ada ada perangkat lunak menggelapkan terletak pada komputer .
Thumbnail CACHE Untuk membuatnya lebih mudah untuk melihat gambar-gambar di komputer Anda , Windows menciptakan versi lebih kecil dari foto Anda disebut thumbnail . Thumbnail hanya miniature versi rekanrekan mereka yang lebih besar . Ini miniatur diciptakan secara otomatis oleh Windows ketika pengguna memilih " Thumbnail " saat menggunakan Windows Explorer . Windows menciptakan beberapa jenis thumbnail file , tergantung pada versi yang digunakan . Windows XP menciptakan sebuah file bernama thumbs.db . Microsoft Vista dan Windows 7 membuat file yang sama disebut thumbcache . db .
MOST RECENTLY USED (MRU) MRU adalah link yang berfungsi sebagai shortcut ke aplikasi atau file yang baru saja digunakan . Anda dapat melihat ini dalam tindakan dengan mengklik tombol Start Windows melalui menu file di banyak aplikasi .
DARI FILES KASUS : INTERNET SEJARAH & KEMBALIKAN POIN Sebuah terdakwa dituduh memiliki pornografi anak mengklaim bahwa ia memiliki mengunjungi situs yang dimaksud hanya pada satu aksesi , dan itu hanya kebetulan . Untuk membantah klaim ini , pemeriksa beralih ke restore point untuk dua sebelumnya bulan . Pemeriksaan setiap file registry yang ditemukan di berbagai restore poin menceritakan cerita yang berbeda secara signifikan. Bukti menunjukkan bahwa tidak hanya telah beberapa situs pornografi anak telah dikunjungi , namun URL telah diketik langsung ke address bar browser , menghancurkan klaimnya bahwa situs itu dikunjungi oleh kecelakaan
LINK FILES Link file memiliki stempel tanggal dan waktu mereka sendiri menunjukkan ketika mereka diciptakan dan terakhir digunakan . Keberadaan link file bisa menjadi penting . Hal ini dapat digunakan untuk menunjukkan bahwa seseorang benar-benar membuka file tersebut . Hal ini juga dapat digunakan untuk membantah pernyataan bahwa file atau folder tidak pernah ada . Link file juga dapat berisi file path lengkap , bahkan jika perangkat penyimpanan terhubung lagi , seperti thumb drive .
Program Diinstal Perangkat lunak yang sedang atau telah diinstal pada komputer mempertanyakan juga bisa menjadi kepentingan. Hal ini terutama berlaku jika aplikasi yang sama sekarang telah dihapus setelah beberapa titik yang relevan dalam waktu ( yaitu, ketika tersangka menyadari adanya investigasi potensial ) . Ada beberapa lokasi pada drive untuk mencari artefak ini . Folder program adalah tempat yang bagus untuk memulai . Link dan prefetch file dua lokasi lain yang juga bisa berbuah .
Ringkasan Komputer mencatat sejumlah besar informasi tanpa sepengetahuan sebagian besar pengguna . Artefak ini datang dalam berbagai bentuk dan dapat ditemukan seluruh sistem . Sebagai contoh, mungkin untuk mengidentifikasi penyimpanan eksternal perangkat , seperti thumb drive , yang telah terpasang pada sistem . Produk pindah untuk Windows Recycle Bin dapat memberitahu kami ketika mereka dihapus dan dimana akun . Bahkan jika file telah dihapus atau ditimpa , salinan file bisa tetap eksis pada drive dalam berbagai bentuk . Salinan ini sering diabaikan dihasilkan oleh pekerjaan cetak dan fungsi hibernasi serta restore point . File-file ini dapat juga dapat ditemukan di ruang swap , bagian tertentu dari hard drive yang digunakan ketika sistem dari RAM . Satu takeaway besar dari bab ini adalah bahwa bukti yang berharga dari file tertentu , tindakan , atau peristiwa dapat direkam di berbagai lokasi .
Dengan demikian , benar-benar menyingkirkan itu bisa menjadi proses yang sangat teknis di luar jangkauan kebanyakan penjahat . Bahkan menghapus data dan defragging hard drive Anda tidak menyingkirkan itu . computer menyimpan data dengan cara yang memungkinkan fragmen file yang lebih tua untuk diukir keluar untuk lebih lanjut analisis . File-file parsial dihapus dari ruang slack bisa mengandung cukup informasi menjadi bagian yang berguna bukti . Atribusi merupakan tantangan utama dalam forensik digital . Mengatakan dengan kepastian yang mutlak bahwa individu tertentu adalah bertanggung jawab untuk artefak yang diberikan sering tidak mungkin . Mengidentifikasi account sering yang terbaik yang bisa dilakukan . Sistem dan aplikasi yang kami gunakan menghasilkan data tentang data . Informasi ini , dikenal sebagai metadata , dapat memberitahu kita ketika file dibuat , diakses , dimodifikasi , dan dihapus . Mengetahui apa perangkat lunak yang telah diinstal dan dijalankan bisa relevan dengan penyelidikan . Mengemudi menyeka perangkat lunak, misalnya , bisa menjadi khusus bunga. Registry Windows dan fungsi prefetching dua sumber informasi ini berpotensi relevan