Penerapan Memory Forensic Menggunakan Metode Live Forensic untuk Investigasi Random Access Memory (original) (raw)
Related papers
Metode Live Forensics Untuk Analisis Random Access Memory Pada Perangkat Laptop
2018
Perkembangan teknologi komputer sekarang ini berdampak pada meningkatnya kasus kejahatan cyber crime yang terjadi baik secara langsung ataupun tak langsung. Kasus cyber crime sekarang ini mampu mencuri informasi digital yang bersifat sensitif dan rahasia. Informasi tersebut dapat berupa user_id, email dan password. Selain tersimpan di cookies browser pada harddisk komputer atau laptop, user_id, email dan password tersebut juga tersimpan pada random access memory (RAM). Random access memory (RAM) bersifat volatile sehingga dalam melakukan analisa diperlukan metode yang tepat dan efektif. Metode akuisisi data digital pada random access memory dapat dilakukan secara live forensics atau ketika sistem sedang berjalan. Hal ini dilakukan karena jika perangkat komputer atau laptop sudah mati atau shutdown maka informasi yang tersimpan dalam random access memory akan hilang. Dalam penelitian ini telah dilakukan akuisisi random access memory (RAM) untuk mendapatkan informasi hak akses login berupa user_id, email dan password pada laman website seperti facebook, internet banking, paypal, bitcoin, dan gmail. Tools yang digunakan untuk melakukan akuisisi data yaitu Linux Memory Extractor (LiME) dan FTK Imager.
Prosiding Konferensi Nasional Ke-4 Asosiasi Program Pascasarjana Perguruan Tinggi Muhammadiyah (APPPTM), 2016
Abstrak-Berkembangnya teknologi mengubah dunia nyata menjadi dunia maya dalam segala bidang termasuk informasi. Informasi berkaitan erat dengan keamanan, kapasitas dan enkripsi. Kapasistas penyimpanan informasi yang besar dan teknik enkripsi informasi yang semakin kuat menyebabkan penggunaan teknik forensic secara tradisional tidak memadai lagi. Oleh karena itu sebagai pengganti maka digunakan teknik live forensics untuk melakukan investigasi. Investigasi menggunakan teknik live forensics memerlukan kecermatan dan ketelitian sebab data volatile pada RAM yang dapat hilang jika sistem mati, serta memungkinkan tertimpanya data penting yang ada pada RAM oleh aplikasi yang lainnya. Karena itu diperlukan metode live forensics yang dapat menjamin integritas dan keaslian data volatile tanpa menghilangkan data yang berpotensial menjadi barang bukti. Banyak tools untuk digunakan live forensics untuk analisis data. Tools yang dibandingan pada metode live forensics yaitu dari kemampuan pengunaan memory, waktu, jumlah langkah dan akurasi paling baik dalam melakukan live forensics. Hasil file investigasi tersebut akan menjadi acuan dalam menentukan tools metode live forensics terbaik, selain dari faktor pendukung yang lainnya. Kata Kunci : live forensic, tools, RAM I. PENDAHULUAN Komputer forensik adalah investigasi dan teknik analisis komputer yang melibatkan tahapan identifikasi, persiapan, ekstraksi, dokumentasi dan interpretasi dari data yang terdapat pada komputer yang berguna sebagai bukti dari peristiwa cyber crime [1]. Tindak kejahatan pada komputer berdasarkan penggunaanya dapat diketahui dari analisis data volatile yang terdapat pada RAM (Random Access Memory). Metode Live forensics bertujuan untuk penanganan insiden lebih cepat, integritas data lebih terjamin, teknik enkripsi lebih memungkinkan bisa dibuka dan kapasitas memori yang lebih rendah bila dibandingkan dengan metode tradisional yang membutuhkan memori besar, waktu yang lama dan memungkinkan data hilang. Data volatile khususnya pada RAM merupakan sistem yang menggambarkan semua kegiatan yang sedang terjadi pada sistem tersebut [2]. Penanganan data volatile pada RAM harus ditangani secara khusus dan hati-hati karena selain datanya dapat hilang jika sistem dimatikan, penggunaan tools akan meninggalkan footprint yang kemungkinan dapat menimpa bukti berharga yang ada ada pada memori. Penggunaan chat pada facebook, username dan password juga hanya tersimpan pada saat sistem berjalan. Oleh karena itu diperlukan metode live forensics yang dapat menjamin integritas data volatile tanpa menghilangkan data yang berpotensi menjadi barang bukti. Metode forensik merupakan faktor penting yang mendukung untuk investigasi tindak kejahatan yang lebih efektif dan efisien dalam menangani sebuah kasus. Model forensik yang sering digunakan yaitu investigasi bertahap untuk menelusuri penggunaan komputer, atau dalam bahasa Inggris disebut sebagai Phased Investigation Methodology (PIM), berfokus pada pemilihan target investigasi dan menelusuri penggunaan sistem target. Dengan membagi investigasi forensik menjadi beberapa langkah dan menerapkannya secara bertahap, memungkinkan PIM untuk memberi reaksi yang cepat terhadap kasus [3]. Selain model PIM, terdapat model respon insiden dan forensik komputer, yang merupakan model proses baru yang diajukan untuk menginvestigasi insiden keamanan komputer. Model proses ini menggabungkan konsep respon insiden dan forensik komputer untuk meningkatkan keseluruhan proses investigasi. Model proses ini terdiri atas tiga tahap utama, yaitu praanalisis, analisis, dan pascaanalisis. Model Proses Umum Respon Insiden dan Forensik Komputer/Generic Computer Forensic Investigation Model (GCFIM), merupakan model yang didapatkan dengan membandingkan beberapa model proses forensik. Model ini terdiri atas lima tahap, yaitu [4] : • Praproses • Akuisisi dan preservasi • Analisis
Intisari— Kejahatan dunia maya setiap tahunnya mengalami peningkatan yang sangat pesat, hal ini dikarenakan semakin berkembangnya teknologi komputer yang berdampak pada kehidupan manusia, segala kemudahan yang didapat dari teknologi komputer pada kenyataannya tidak hanya berdampak baik bagi kehidupan manusia, karena beberapa di antaranya ternyata juga ikut memberikan dampak yang buruk. Beberapa orang yang memanfaatkan teknologi komputer sebagai media untuk melakukan tindakan kejahatan yang bertentangan dengan hukum. Para pelaku memiliki banyak teknik atau cara untuk melakukan tindak kejahatannya, di antaranya adalah memanfaatkan kelemahan sistem keamanan komputer dengan menyusupkan program yang digunakan sebagai media untuk mencuri informasi dari sebuah sistem komputer, program ini disebut sebagai malware, malware sangat berkaitan erat dengan memori komputer karena aktivitas dan proses malware terjadi pada saat komputer sedang berjalan, untuk itu perlu penanganan khusus dalam menginvestigasi kejahatan malware ini. Live forensics menjadi solusi yang sangat tepat dalam menginvestigasi sebuah malware dari memori komputer, sebab live forensics ini mampu mendapatkan informasi dari data dan informasi yang hanya ada ketika sistem sedang berjalan misalnya aktifitas memory, network proses, swap file, dan running system proses, untuk mendalami informasi dari data digital yang berhasil didapatkan dari teknik live forensics, maka dibutuhkan volatility framework guna mendapatkan informasi mendalam dari aktivitas malware, volatility framework versi windows ini mampu memberikan informasi dari proses yang mencurigakan, aktivitas malware dalam melakukan koneksi ke luar, fungsi malware yang diinjeksi pada file windows, dan mengekstraksi malware dan file windows yang terifeksi malware dengan melakukan proses dump, selanjutnya file ekstraksi tersebut dianalisa pada scanning virus total (www.virustotal.com) guna mendapatka type malware tersebut. Abstract— Cyber crime each year has increased very rapidly, this is due to the growing development of computer technology that impact on human life, all the conveniences obtained from computer technology in fact not only a good impact for human life, because some of them were also involved the bad one. Some people who use computer technology as a medium to commit crimes that are against the law. The perpetrators have many techniques or means to commit their crimes, among them are utilizing the weaknesses of computer security systems by smuggling programs that are used as a medium to steal information from a computer system, the program is referred to as malware, malware is closely related to computer memory due to the activity and the malware process occurs at the time the computer is running, for it needs special handling in investigating this malware crime. Live forensics is the perfect solution to investigate a malware from computer memory, because live forensics is able to get information from data and information that exists only when the system is running such as memory, network process, swap file, and running system process, information from the digital data obtained from live forensics techniques, it takes the volatility framework to obtain in-depth information from malware activity, volatility framework version of windows is able to provide information from suspicious processes, malware activities in connecting out, malware functions injected on windows files, and extracting malware and windows files that are malware infected by dump process, then the extraction file is analyzed on the total virus scanning (www.virustotal.com) to get the type of malware.
Perbandingan Tools Forensics pada Fitur TRIM SSD NVMe Menggunakan Metode Live Forensics
IT JOURNAL RESEARCH AND DEVELOPMENT, 2020
SSD saat ini memiliki teknologi media penyimpanan yang baru yaitu Solid State Drive Non-volatile Memory Express (SSD NVMe). Selain itu, SSD memiliki fitur bernama TRIM. Fitur TRIM memungkinkan sistem operasi untuk memberitahu SSD terkait block mana saja yang sudah tidak digunakan. TRIM berfungsi menghapus block yang telah ditandai untuk dihapus oleh sistem operasi. Namun fungsi TRIM memiliki efek atau nilai negatif bagi bidang forensik digital khususnya terkait dengan recovery data. Penelitian ini bertujuan untuk melakukan perbandingan fungsi TRIM disable dan enable guna mengetahui kemampuan tools forensics dan tools recovery dalam mengembalikan bukti digital pada SSD NVMe fungsi TRIM. Sistem operasi yang digunakan dalam penelitian ini adalah Windows 10 profesional dengan file system NTFS. Selama ini, teknik akuisisi umumnya digunakan secara tradisional atau static. Oleh karena itu diperlukan teknik untuk mengakuisisi SSD dengan menggunakan metode live forensics tanpa mematikan sist...
Live Forensik Untuk Analisa Anti Forensik Pada Web Browser Studi Kasus Browzar
Indonesian Journal of Business Intelligence (IJUBI)
Cybercrime continues to increase and innovate along with the rapid development of internet and more easily accessible everywhere. Most business organizations have used the internet for its operations so that the use of browsers is a necessity to support work. So that the browser also adjusts to improve security on the user's side so that information accessed by users cannot be known by other users. Browzar is a browser that answers these challenges, where Browzar can run without having to be installed on the computer and automatically deletes information generated by the use of the browser itself. However, these advantages become a challenge for investigators because these advantages can be exploited by cybercriminals to eliminate, minimize existing digital evidence. This study intends to analyze and find digital evidence in criminal cases using Browzar with Live Forensic. Digital evidence is obtained using dumpit for data acquisition and forensic volatility memory and winhex to...
Forensik Multimedia Berbasis Mobile Menggunakan Metode National Institute of Justice
Jurnal SAINTEKOM
Current technological developments make it easier for people to share information and carry out communication activities through instant messaging applications using multimedia features in the form of audio and video. Technology has been able to contribute and facilitate humans in a positive sense, but it can also be misused to carry out negative activities. In solving crime problems using instant messages, investigators need to carry out digital forensics, including on mobile devices such as smartphones. This study aims to obtain digital evidence of online drug sales scenarios via Facebook messenger and WhatsApp using four forensic tools, namely Belkasoft, Oxygen, MOBILedit, and Magnet Axiom. The National Institute of Justice (NIJ) is used as a framework with stages, namely identification, solution, testing, evaluation, and reporting of results. out of the four tools, MOBILedit cannot recover deleted audio and video while the other three tools can recover deleted audio and video.
Forensik yang identik dengan tindakan kriminal, sampai saat ini hanya sebatas identifikasi, proses, dan analisa pada bagian umum. Untuk kejahatan komputer di Indonesia, forensik di bidang komputer biasanya dilakukan tanpa melihat apa isi di dalam komputer. Justru lebih banyak bukti jika forensik di dalam komputer itu diindetifikasi. Metode yang umum digunakan untuk forensik pada komputer ada dua, yaitu search and seizure dan pencarian informasi (discovery information).
Analisis Anti Forensik pada Portable Web Browser Mode Private Menggunakan Metode Live Forensik
2017
Hampir semua aspek kehidupan sudah menggunakan internet, untuk dapat mengakses Internet salah satunya menggunakan web browser. Untuk keamanan, beberapa fitur web browser mengembangkan mode private. Sayangnya dari fitur ini, oleh beberapa oknum digunakan untuk kegiatan kriminal dengan proses anti-forensik. Proses Anti-forensik tersebut seperti dengan menggunakan web browser portabel dan menghapus registry. Motivasi penggunaan anti-forensik adalah untuk meminimalkan atau menghambat penemuan bukti digital dalam kasus kejahatan. Sehingga, menjadi hambatan bagi penyidik untuk mengungkap kejahatan internet yang telah dilakukan. Makalah ini mengusulkan sebuah kerangka tahapan untuk analisis web browser pada mode private dan anti-forensik. Tujuan dari penelitian ini adalah untuk memberikan solusi dalam investigasi forensik secara efektif dan efisien menggunakan metode live forensik. Penelitian ini menggunakan live forensik untuk mendapatkan informasi lebih detail yang ada di komputer dengan kondisi masih menyala. Jadi metode ini cocok diterapkan untuk penanganan insiden yang lebih cepat dan memungkinkan mendapatkan data dalam RAM.
Eksplorasi Bukti Digital Pada Smart Router Menggunakan Metode Live Forensics
Infotekmesin
Network devices as media file sharing and can be used as file servers have begun to appear, just as smart router devices can be used as file servers by adding USB Thumb drive as storage media. With the diversity of router devices, it becomes a challenge in digital forensic science when a case occurs by utilizing a smart router device related to file-sharing services. Then it is necessary to study the right method in investigating smart router devices. This paper discusses the use of the live forensics acquisition method in investigating smart router devices, against system log files related to file-sharing activities. In identifying the process of searching, recognizing, and documenting potential things as digital evidence of processing devices and digital media storage. The acquisition process uses two methods, namely the live acquisition method on the router device and physical acquisition on the device that is used as storage media on the smart router.
Analisis Perbandingan Kinerja Live Forensics Software dalam Digital Forensics
Live Forensics, 2020
Abstrak Live forensics merupakan salah satu teknik penting yang sampai saat ini masih digunakan dalam dunia digital forensic untuk menganalisis kondisi kernel dari suatu operating system atau proses-proses yang sedang berjalan pada sistem dan disimpan sementara dalam RAM (Random Access Memory) komputer, pada teknik live forensics, analisis terhadap semua proses sistem yang berada di RAM hanya bisa dilakukan ketika komputer dalam kondisi hidup/power-on dikarenakan sifat RAM yang volatile/tidak permanen sehingga data akan hilang ketika komputer di reboot ataupun dalam kondisi mati/power-off. Pada penelitian ini dilakukan perbandingan kinerja antara 3 (tiga) buah software yang popular dan biasa digunakan didalam teknik live forensics, yaitu : FTK Imager, Magnet Ram Capture dan Redline Fireeye guna mengetahui kinerja masing-masing perangkat lunak tersebut dalam menganalisis proses-proses sistem yang berada di RAM. Dalam eksperimen yang dilakukan didapati hasil bahwa RedLine Fireeye adalah tools dengan penggunaan resource memory yang paling banyak diantara yang lain yaitu 21,6 MB, sedangkan dari sisi kebutuhan waktu yang diperlukan untuk melakukan capture memory, yang paling lama adalah juga RedLine Fireeye dengan waktu 17 menit untuk proses memory capturing RAM 4 GB. Selain itu diperhitungkan juga dari sisi penggunaan CPU yang paling menguras resource adalah Magnet RAM Capture dengan jumlah 13,10%, sedangkan dari sisi utilisasi disk disemua drive yang ada software Magnet RAM Capture tercatat sebagai software yang paling besar dengan 45,0 Mb/s. Kata Kunci : live forensics, FTK Imager, Magnet RAM Capture, RedLine Fireye