Minggu, 12 Desember 2010

Hardisk Forensic

Menanggapi salah satu "tantangan" dari Mas Ruby Alamsyah tentang pentingnya pemahaman hardisk dalam kerja Forensic, saya akan menulis artikel tentang Hardisk dan seluk beluk teknisnya di sini.

Salah satu operasi paling umum dalam penggunaan komputer sehari2 adalah operasi baca, tulis dan penghapusan. akan tetapi banyak hal2 yg belum terlalu diketahui orang2 pada umumnya dalam penggunaan sehari2. akan tetapi, untuk seorang investigator forensik, hal2 ini sangatlah penting dalam pelacakan barang bukti.

Tentu saja, sistem hardisk yang berbeda juga berbeda dalam pengelolaan spacenya. Hardisk NTFS, misalnya, berbeda dengan Hardisk FAT32. begitu pula dengan media penyimpanan non-platter seperti RAM, Flashdisk dan sebagainya. akan tetapi, pada umumnya, ada beberapa "ruang" yang sangat2 penting bagi penyidikan forensik. ruang2 itu adalah :

1. Recycle Bin : adalah tempat pertama yg perlu dicek dalam pencarian barang bukti. kecenderungannya, banyak pengguna sekedar mendelete filenya dengan menekan tombol delete. file2 tersebut bisa saja merupakan barang bukti penting.. karena itu Recycle Bin bisa jadi merupakan tempat penyimpanan data2 penting tersebut.

2. Free Slack : Ketika suatu file didelete dari Recycle Bin, sebenarnya file tersebut tidak langsung lenyap begitu saja. Komputer menghapus catatan file tersebut dari MFT (Master File Table) yang merupakan suatu "daftar isi" dari suatu hardisk. jika daftar isi dihapus, kita akan kesulitan menemukan file tersebut. akan tetapi bukan berarti file tersebut tidak ketemu kalau kita mau buka tiap halaman satu demi satu. Kebanyakan Program yg menawarkan "menemukan kembali file yg sudah didelete" beroperasi pada tingkat ini.

3. Slack Space : Ketika sebuah File didelete, MFT dihilangkan dan sebuah data baru dituliskan diatas data lama (overwrite), memang hampir mustahil kita bisa mengembalikan data tadi seutuhnya. akan tetapi, seringkali sebagian dari data2 lama tersebut masih ada. ini dimungkinkan karena cara kerja komputer yang membagi dalam satuan yang disebut "Allocation Unit Space (Windows)"

Metodenya, sebuah hardisk dibagi2 dalam ribuan partisi kecil  berukuran 512 bytes sampai 4096 bytes. ketika suatu file berukuran 1024 bit dituliskan misalnya, jika hardisk itu diatur agar membagi hardisk dalam ukuran 512 bytes, hardisk akan menuliskannya dengan pada 2 slot partisi.

Tapi bagaimana jika Hardisk dibagi dalam satuan 4096 bytes ? pada kondisi ini, hardisk tetap akan mengumumkan seakan2 sebuah slot 4096 bytes telah terisi. walaupun secara manual, Slot tersebut hanya terisi 1/4nya saja. sisa 3/4 di dalam slot ini bisa jadi masih tetap menyimpan data2 lama yang (seharusnya) telah dimusnahkan (didelete).

Satuan penggunaan minimum ini juga tetap berguna bagi pengguna awam. jika hardisk dibagi dalam 4096 bytes, sebuah file terkecil berukuran 1 byte pun akan tetap menggunakan 4096 bytes. bayangkan betapa borosnya penggunaan space hardisk tersebut.

Akan tetapi, ada orang yang memilih menggunakan satuan minimum yang besar dengan tujuan mempercepat akses. berbeda dengan manusia, komputer tidak selalu menuliskan bagian2 dari 1 informasi yang sama dalam slot2 bersebelahan. kadang bisa jadi slot tersebut terpisah jauh, menyebabkan hardisk harus bekerja keras mencari bagian berikut dari data tersebut. disinilah defragmenter diperlukan.

Tentu saja, Perbedaan Media dan Sistem operasi sangat mempengaruhi proses forensik tadi. pengaturan penggunaan hardisk pada MAC dan Linux mungkin saja berbeda dengan proses yang saya tuliskan di atas. begitu juga pada device yang berbeda seperti hardisk hybrid, PDA dan lain sebagainya.

2 komentar: