GajeHaje

Penelusuran bisa dilakukan untuk sekedar mencari "ada informasi apa disini?" sampai serinci pada "apa urutan peristiwa yang menyebabkan terjadinya situasi terkini?".

Berdasarkan klasifikasinya file yang menjadi objek penelusuran terbagi kepada tiga kategori, yaitu: file arsip (archieved files), file aktif (active files) dan file sisa (residual data). File Arsip adalah file yang tergolong arsip karena kebutuhan file tersebut dalam fungsi pengarsipan. Mencakup penanganan dokumen untuk disimpan dalam format yang ditentukan, proses mendapatkannya kembali dan pendistribusian untuk kebutuhan yang lainnya, misalnya beberapa dokumen yang didigitalisasi untuk disimpan dalam format TIFF untuk menjaga kualitas dokumen. File aktif adalah file yang memang digunakan untuk berbagai kepentingan yang berkaitan erat dengan kegiatan yang sedang dilakukan, misalnya file-file gambar, dokumen teks, dan lain-lain. Sedangkan file yang tergolong residual mencakup filefile yang diproduksi seiring proses komputer dan aktivitas pengguna, misalkan catatan penggunan dalam menggunakan internet, database log, berbagai temporary file, dan lain sebagainya.

Beberapa software atau tools yang bisa digunakan dalam mendukung tahapan ini antara lain:

• Forensic Acquisition Utilities (http://users.erols.com/gmgarner/forensics/)
• FTimes (http://ftimes.sourceforge.net/FTimes/index.shtml)
• Liveview (http://liveview.sourceforge.net/)
• Netcat (http://www.atstake.com/research/tools/network_utilities/pdd)
• ProDiscover DFT (www.techpathways.com)
• Psloggedon (http://www.sysinternals.com/ntw2k/freeware/psloggedon.shtml)
• TULP2G (http://sourceforge.net/projects/tulp2g/) 
• UnxUtils (http://unxutils.sourceforge.net)
• Webjob (http://webjob.sourceforge.net/WebJob/index.shtml).
• dan lain sebagainya

Forensik pada dasarnya adalah pekerjaan identifikasi sampai dengan muncul hipotesa yang teratur menurut urutan waktu. Sangat tidak mungkin forensik dimulai dengan munculnya hipotesa tanpa ada penelitian yang mendalam berdasarkan buktibukti yang ada. Dalam kaitan ini pada digital forensik dikenal istilah chain of custody dan rules of evidence.

Rules of evidence artinya pengaturan barang bukti dimana barang bukti harus memiliki keterkaitan dengan kasus yang diinvestigasi dan memiliki kriteria sebagai berikut:

1. Layak dan dapat diterima (Admissible).

Artinya barang bukti yang diajukan harus dapat diterima dan digunakan demi hukum, mulai dari kepentingan penyidikan sampai ke pengadilan.

2. Asli (Authentic).

Barang bukti harus mempunyai hubungan keterkaitan yang jelas secara hukum dengan kasus yang diselidiki dan bukan rekayasa.

3. Akurat (Accurate).

Barang bukti harus akurat dan dapat dipercaya.

4. Lengkap (Complete).

Bukti dapat dikatakan lengkap jika didalamnya terdapat petunjuk-petunjuk yang lengkap dan terperinci dalam membantu proses investigasi.

Tahapan ini mencakup penyimpanan dan penyiapan bukti-bukti yang ada, termasuk melindungi bukti-bukti dari kerusakan, perubahan dan penghilangan oleh pihak-pihak tertentu. Bukti harus benar-benar steril artinya belum mengalami proses apapun ketika diserahkan kepada ahli digital forensik untuk diteliti. Karena bukti digital bersifat sementara (volatile), mudah rusak, berubah dan hilang, maka pengetahuan yang mendalam dari seorang ahli digital forensik mutlak diperlukan.Kesalahan kecil pada penanganan bukti digital dapat membuat barang bukti digital tidak diakui di pengadilan. Bahkan menghidupkan dan mematikan komputer dengan tidak hati-hati bisa saja merusak/merubah barang bukti tersebut. 

Aturan utama pada tahap ini adalah penyelidikan tidak boleh dilakukan langsung pada bukti asli karena dikhawatirkan akan dapat merubah isi dan struktur yang ada didalamnya. Mengantisipasi hal ini maka dilakukan copy data secara Bitstream Image dari bukti asli ke media penyimpanan lainnya. Bitstream image adalah metode penyimpanan digital dengan mengkopi setiap bit demi bit dari data orisinil, termasuk file yang tersembunyi (hidden files), file temporer (temporary file), file yang terdefrag (defragmented file), dan file yang belum teroverwrite. Dengan kata lain, setiap biner digit demi digit di-copy secara utuh dalam media baru. Teknik ini umumnya diistilahkan dengan cloning atau imaging. Data hasil cloning inilah yang selanjutnya menjadi objek penelitian dan penyelidikan.

Tahapan ini dilaksanakan dengan melakukan analisa secara mendalam terhadap bukti-bukti yang ada. Bukti yang telah didapatkan perlu di-explore kembali kedalam sejumlah skenario yang berhubungan dengan tindak pengusutan, seperti:

• Siapa yang telah melakukan
• Apa yang telah dilakukan
• Apa saja software yang digunakan
• Hasil proses apa yang dihasilkan
• Waktu melakukan.

Penelusuran bisa dilakukan pada data-data sebagai berikut: alamat URL yang telah dikunjungi, pesan e-mail atau kumpulan alamat e-mail yang terdaftar, program word processing atau format ekstensi yang dipakai, dokumen spreedsheat yang dipakai, format gambar yang dipakai apabila ditemukan, file-file yang dihapus maupun diformat, password, registry windows, hidden files, log event viewers, dan log application. Termasuk juga pengecekan pada metadata. Kebanyakan file mempunyai metadata yang berisi informasi yang ditambahkan mengenai file tersebut seperti computer name, total edit time, jumlah editing session, dimana dicetak, berapa kali terjadi penyimpanan (saving), tanggal dan waktu modifikasi. Selanjutnya melakukan recovery dengan mengembalikan file dan folder yang terhapus, unformat drive, membuat ulang partisi, mengembalikan password, merekonstruksi ulang halaman web yang pernah dikunjungi, mengembalikan email yang terhapus dan seterusnya. Tahapan analisis terbagi dua, yaitu: analisis media (media analysis) dan analisis aplikasi (application analysis) pada barang bukti yang ada. Beberapa tools analisis media yang bisa digunakan antara lain:

• TestDisk (http://www.cgsecurity.org/testdisk.html)
• Explore2fs (http://uranus.it.swin.edu.au/~jn/linux/explore2fs.htm)
• ProDiscover DFT (http://www.techpathways.com)

Sedangkan untuk analisis aplikasi, beberapa tools yang bisa digunakan seperti:

• Event Log Parser (http://www.whitehats.ca/main/members/Malik/malik_eventlogs/malik_event logs.html)
• Galleta (http://www.foundstone.com/resources/proddesc/galleta.htm)
• Libpff (http://libpff.sourceforge.net)
• Md5deep (http://md5deep.sourceforge.net/)
• MD5summer (http://www.md5summer.org/)
• Outport (http://outport.sourceforge.net/)
• Pasco (http://www.foundstone.com/resources/proddesc/pasco.htm)
• RegRipper (http://windowsir.blogspot.com/2008/04/updated-regripper.html)
• Rifiuti (http://www.foundstone.com/resources/proddesc/rifiuti.htm)