E n c a s e
Merupakan salah satu tool komersil yang banyak digunakan untuk melakukan penyidikan. Salah satu tool yang termasuk hebat di lingkungan IT Forensic ini adalah keluaran Guidance Software. Tidak hanya dapat membaca data-data yang sudah terhapus, encase juga dapat memberitahukan sistem-sistem yang belum di patch, menerima masukkan dari intrusion detection system untuk menyelidiki keanehan jaringan yang terjadi, merespon sebuah insiden keamanan, memonitoring pengaksesan sebuah file penting, dan banyak lagi.
Encase merupakan standar de facto untuk computer forensics. Ini dikarenakan sudah berhasilnya bukti-bukti yang dianalisa oleh Encase diterima oleh Pengadilan Amerika Serikat. EnCase merupakan salah satu bagian dari rantai-rantai penting yang ada dalam computer forensics. Encase merupakan sebuah program (aplikasi). Seperti juga DriveSpy, EnCase bukanlah program gratis, tetapi anda yang ingin mencobanya silakan gunakan versi demo-nya yang dapat di-download dihttp://www.worldnetnews.com/ensetup.exe atau dapatkan di dalam CD NeoTek kali ini.
EnCase merupakan software yang digunakan oleh banyak pelaksana hukum untuk mendapatkan keterangan atau kesaksian atau bukti kejahatan (yang dilakukan oleh seseorang yang dicurigai melakukan tindakan kejahatan dengan menggunakan komputer sebagai fasilitasnya) dengan melakukan scan terhadap hard drive (harddisk) komputer. Sekilas terlihat seperti program Recovery yang dapat membangkitkan file/data yang terhapus dari harddisk. Tetapi tetap ada perbedaannya, dan perbedaan tersebut akan anda ketahui setelah mencobanya. Setelah anda mendapatkan Ensetup.exe maka instalasi sudah dapat dilakukan dengan melakukan klik ganda pada ensetup.exe. Nantinya anda akan menemukan window instalasi. Untuk melanjutkan instalasi, klik tombol yang bertulisan Install Now, maka akan akan melihat proses instalasi yang berjalan. Tidak membutuhkan waktu yang sangat panjang dalam instalasi.
Encase terdiri dari versi DOS dan versi Windows.Versi DOS pada full version dapat digunakan untuk akuisisi data seperti halnya Norton Ghost, tetapi pada demo version fasilitas ini dihilangkan dan hanya dapat digunakan untuk melihat volume dari hard disk yang ada dalam sistem. Tidak banyak kegunaan versi DOS demo version ini. Versi Windows dari demo version ini mempunyai dua fungsi yang diaktifkan, yaitu Preview dan Create Evidence File. Preview berguna untuk analisa yang tidak mensyaratkan prosedur forensik, sedangkan yang memang dapat digunakan untuk keperluan forensic adalah Create Evidence File.
Pada Encase demo version, Preview hanya dapat dilakukan terhadap volume hard disk yang aktif (dalam hal ini drive C:), sedangkan volume dan drive lain tidak dikenali. Create Evidence File dapat mengenali volume maupun drive lain. Karena hanya digunakan pada drive aktif, maka hanya opsi No Lock yang dapat diterapkan pada Preview, sedangkan pada Create Evidence File, terhadap volume yang dibuatkan evidence filenya dapat diterapkan Write Lock ataupun Exclusive Lock yang secara software mencegah volume hard disk itu tertulis sewaktu proses pembentukan evidence file berlangsung.
Anda harus menyiapkan space pada hard disk yang cukup besar untuk menampung evidence file. Pada contoh ini drive D: dengan ukuran 10 Gbyte dibuatkan evidence file yang totalnya sebesar 13,8 Gbyte dan disimpan dalam drive C: Pembengkakan 30% ini masih terjadi walaupun sudah menggunakan opsi Good pada kompresi yang memakan waktu lebih dari 2 jam. Memang bisa memilih opsi Best untuk kompresi, tetapi waktu yang dibutuhkan untuk membuat evidence file akan lebih lama lagi.
Sumber :
http://kikifirmansyah.blog.upi.edu/2009/11/13/persoalan-forensik-it-dan-kaitannya-dengan-4-elemen-kunci-studi-kasus-“isi-laptop-noordin-m-top”/
http://iwayan.info/Lecture/EtikaPofesi_S1/04a_ITForensik.pdf
http://foren6.files.wordpress.com/2009/08/computer-forensic.jpg
http://kingrio.wordpress.com/2010/06/07/pengenalan-it-forensik/
Tidak ada komentar:
Posting Komentar