SWGDE Penangkapan Sistem Secara Langsung
1. Tujuan
Tujuan dari dokumen ini adalah untuk memberikan panduan bagi komunitas forensik ketika akuisisi data dari sistem komputer yang hidup. Yang menjadi perhatian utama yaitu kemampuan capture dan menyimpan data dalam format yang dapat digunakan. Faktor-faktor seperti volatilitas atau volume data, pembatasan yang diberlakukan oleh otoritas hukum, atau penggunaan enkripsi dapat mendikte kebutuhan untuk capture data dari sistem.
2. Ruang Lingkup
Tulisan ini memberikan panduan dan pertimbangan untuk proses akuisisi data dari sistem komputer yang hidup termasuk memori atau data dari file sistem yang dipasang pada media penyimpanan komputer.
3. Urutan Volatilitas
Ketika memperoleh barang bukti, penyidik harus berhati-hati dalam mengurutkan, mengumpulkan, mempertimbangkan urutan data yang dikumpulkan karena volatilitas potensi dan efek koleksi pada sistem. Pesanan ini dapat berubah berdasarkan pada sistem. Pemeriksa harus memahami kebutuhan situasi yang diberikan dan memesan pengumpulan data volatil sesuai.
Satu urutan contoh volatilitas adalah:
1. RAM
2. proses Menjalankan
3. Jaringan koneksi
4. Pengaturan Sistem
5. Media penyimpanan
4. Rincian Teknis
Ada empat kategori akuisisi hidup:
1. Hidup memori (RAM, pagefile, swapfile, dll)
2. Volatile sistem data / prosesAkuisisi sistem
3. Tinggal berkas / file yang
4. akuisisi fisik Hidup
4.1 Live Memori
Metode akuisisi live memory yaitu menyalin data saat ini yang berada di system memori. Umumnya, metode live acquisition memerlukan hak administratorpada sistem. Diperlukan waktu untuk mengekstrak semua data dari sistem yang berkontribusi kondisi ini dikenal sebagai memory smear, dimana data diubah selama proses akuisisi.
4.2 Sistem Data Volatile / proses
Sistem Data Volatile memanfaatkan koleksi dari perintah eksekusi atau script batch untuk mengumpulkan informasi singkat mengenai sistem saat ini, seperti: proses yang berjalan, koneksi jaringan, password, status file sistem, soket yang terbuka, pengguna yang terhubung, dll. Praktik terbaik dengan menentukan penggunaan binari yang tepercaya untuk tujuan ini, bila tersedia.
4.3 Akuisisi sistem file / file live
Sebuah akuisisi sistem file secara langsung memungkinkan pemeriksa untuk memperoleh data yang tidak dapat diakses setelah sistem telah dimatikan, seperti: kontainer yang dipasang enkripsi, penyimpanan di jaringan, database, dll. Layaknya enkripsi yang mencegah akses ke data setelah shutdown, sistem file seharusnya diperoleh saat hidup. Selain itu, membuka file yang belum disimpan harus dikumpulkan sementara sistem ini masih hidup.
4.4 Akuisisi Fisik Hidup
Situasi mungkin mendikte bahwa sebuah sistem diperoleh secara fisik tanpa mematikannya. Metode akuisisi ini rentan terhadap smear data yang disebabkan oleh akses file selama proses akuisisi.
5. Peralatan dan Pelatihan
Beberapa alat yang ada untuk menangkap memori sistem dari sistem komputer. Kebanyakan solusi berbasis perangkat lunak, diperlukan sedikit pelatihan untuk berhasil menangkap memori sistem, dan memerlukan hak administrator lokal untuk sebagian besar sistem operasi modern.
6. Keterbatasan
Pemeriksa harus menyadari bahwa berinteraksi dengan sistem komputer hidup akan menyebabkan perubahan pada sistem. Pemeriksa harus tahu bahwa tindakan mereka dapat menyebabkan perubahan pada data (misalnya, RAM) dan berisiko menyebabkan ketidakstabilan pada sistem. Pemeriksa harus memahami masalah ini dan bagaimana mereka mungkin berlaku untuk situasi tertentu mereka. Pemeriksa harus mengambil langkah-langkah untuk menjaga sistem diakses selama proses akuisisi. Mengingat bahwa pemeriksa bekerja dengan data volatile, pemeriksa harus menjaga rincian dokumentasi dari semua tindakan yang diambil.
Sumber :
https://www.swgde.org/documents/Current%20Documents
Sumber :
https://www.swgde.org/documents/Current%20Documents