Dead VS Live Forensics
Dua teknik dalam digital forensic?
Secara garis besar terdapat dua jenis teknik didalam digital forensics berdasarkan penanganan alat bukti digital, yaitu traditional forensic atau yang lebih sering disebut sebagai dead forensics dan kemudian live forensics. Kedua teknik ini mengadaptasi pendekatan terhadap barang bukti digital yang dimiliki ketika melakukan penyitaan atau dalam bahasa digital forensicsnya dikenal sebagai tahapan seizure.Perbedaan antara teknik dead forensics dan live forensics?
Perbedaan mendasar dari kedua teknik ini adalah hanya pada keadaan media penyimpanan dari barang bukti digital apakah sedang menjalankan sistem atau dalam keadaan mati. Live Forensics pada dasarnya memiliki kesamaan pada teknik forensik tradisonal dalam hal metode yang dipakai yaitu identifikasi, penyimpanan, analisis, dan presentasi, hanya saja live forensic merupakan respon dari kekurangan teknik forensik tradisonal yang tidak bisa mendapatkan informasi dari data dan informasi yang hanya ada ketika sistem sedang berjalan misalnya aktifitas memory, network process, swap file, running system process, dan informasi dari file sistem, dimana hal ini menjadi kelebihan dari teknik live forensics.Dead VS Live Forensics, kapan waktu yang tepat menggunakannya?
Teknik didalam digital forensics ini sangat krusial ditentukan ketika pertama kali akan mengadakan penyitaan alat bukti digital. Karena jika terjadi kesalahan sama saja dengan membuang kemungkinan petunjuk yang bisa membuka jalan dalam mempermudah investigasi digital forensics. Penanganan bukti digital berdasarkan jenis kasus yang ada sangatlah berbeda, oleh karenanya keahlian digital forensics harus juga dipahami oleh penegak hukum yang bekerja dilapangan dan langsung bersinggungan dengan alat bukti bukan hanya seorang ahli digital forensics yang menganalisa dan menginvestigasi bukti digital sebuah kasus.
Gambar diatas merupakan flowchart sederhana yang sengaja saya buatkan untuk mendukung penjelasan saya di artikel ini, Dalam metode digital forensics baku, proses seizure diatas berada pada tahapan collection/acquisition, selengkapnya bisa dibaca di artikel Metode Dalam Digital Forensics, disini kita bisa melihat gambaran bahwa teknik dead dan live forensics sangatlah fundamental karena menentukan arah dari tahapan investigasi yang akan dilakukan berikutnya.
Kelebihan dan kekurangan dari Dead dan Live Forensics
Tujuan utama dari teknik live forensics adalah untuk mendapatkan data dan file voltile dari RAM, volatile data merupakan data yang sangat rapuh dan mudah berubah yang terdapat didalam RAM. Meskipun saat ini teknologi komputer telah membuat memory dalam RAM tidak sepenuhnya terhapus ketika komputer baru saja dimatikan, jika tidak dilakukan refresh secara berkala dalam artian komputer harus dalam keadaan menyala agar dapat melakukan ini, data yang ada tetap tidak konsisten ketika kita mencoba untuk menghidupkan komputer kembali.
Live forensics menjadi solusi bagi dead forensics, karena ketika komputer mati yang bisa kita lakukan adalah hanya menganalisa penyimpanan data dari komputer dan artinya kita kehilangan semua data yang ada di RAM yaitu, informasi tentang network, process, dan registry dari aktivitas komputer seperti yang telah saya jelaskan sebelumnya. Secara teknis pendekatan antara kedua teknik ini sangatlah jauh berbeda, software yang cukup terkenal bisa digunakan dalam melakukan akuisisi memory RAM adalah helix kemudian untuk melakukan analisa terhadap hasil dari akuisisi menggunakan volatility.
Leave a Comment