Apa itu forensic image?
Forensic image (salinan forensik) adalah salinan langsung bit demi bit, sektor demi sektor dari sebuah perangkat penyimpanan fisik, termasuk semua file, folder, serta ruang yang tidak dialokasikan, ruang bebas, dan slack space. Forensic image mencakup semua file yang terlihat oleh sistem operasi (OS), serta file yang telah dihapus dan potongan file yang tersisa di slack space dan ruang bebas.
Forensic imaging adalah salah satu elemen dari computer forensics, yaitu penerapan teknik investigasi dan analisis komputer yang digunakan oleh pemeriksa forensik untuk mengumpulkan bukti digital yang dapat disajikan di pengadilan.
Tidak semua perangkat lunak pencitraan dan backup dapat membuat forensic image. Sebagai contoh, Windows Backup hanya membuat cadangan gambar yang tidak merupakan salinan lengkap dari perangkat fisik. Forensic image dapat dibuat menggunakan alat forensik khusus, seperti perangkat lunak forensik. Beberapa utilitas pencitraan disk yang tidak dipasarkan untuk keperluan forensik juga dapat membuat disk image yang lengkap.
Forensic imaging dalam keamanan siber
Dalam kasus kejahatan siber, bukti tambahan bisa ditemukan selain dari yang tersedia melalui sistem operasi. Jenis bukti asli ini termasuk data yang telah dihapus dengan maksud untuk menghindari electronic discovery. Kecuali jika data dihapus secara aman dan ditimpa dengan data lain, biasanya data tersebut masih dapat dipulihkan menggunakan perangkat lunak forensik atau pemulihan data.
Membuat forensic image dan mencadangkannya dapat mencegah kehilangan data akibat kegagalan drive. Kehilangan data sebagai bukti bisa menjadi faktor yang merugikan dalam kasus hukum. File forensic image digital juga dapat mencegah hilangnya file penting secara umum.
Tiga jenis forensic image
Saat menangkap isi perangkat penyimpanan, ada tiga jenis forensic image yang dapat dibuat. Pendekatan yang digunakan tergantung pada teknologi yang tersedia dan kebutuhan bisnis. Tiga jenis image tersebut meliputi:
- Physical image. Mencakup seluruh isi perangkat penyimpanan, termasuk data aktif, ruang tidak digunakan atau tidak dialokasikan, serta data yang telah dihapus yang masih tersimpan di perangkat penyimpanan.
- Logical image. Perangkat penyimpanan dipindai untuk mendapatkan data, yang dalam kebanyakan kasus adalah data aktif.
- Targeted image. Data spesifik, seperti yang dibutuhkan dalam pemeriksaan hukum, diidentifikasi dan dicitrakan.
Menangkap dan membuat forensic image
Untuk menghasilkan forensic image digital dari sebuah perangkat penyimpanan, diperlukan alat dan perangkat lunak yang dapat memindai perangkat, menangkap konten yang diinginkan, dan memberikan salinan yang persis sama ke perangkat penyimpanan lain. Hampir semua perangkat yang memiliki fungsi atau kemampuan penyimpanan dapat digunakan untuk membuat forensic image. Contohnya termasuk hard drive, CD-ROM, flash drive, ponsel, komputer, smartphone, dan bahkan halaman web.
Sebagai contoh, OpenText EnCase Forensic adalah perangkat lunak yang menciptakan format image untuk penyimpanan dan analisis forensik di masa depan. Forensic image yang berhasil memiliki karakteristik berikut:
- Perangkat yang dipindai dan teknologi pemindaian berhasil terhubung.
- Perangkat sumber dan datanya tidak mengalami modifikasi.
- Teknologi pemindaian menghasilkan salinan asli dari data yang dipindai.
Write blocking adalah teknologi yang mencegah perubahan apa pun pada perangkat sumber sebelum dan selama proses pemindaian. Write blocker biasanya ditempatkan di antara perangkat sumber dan sistem pemindaian serta tersedia untuk berbagai jenis perangkat penyimpanan.
Mengapa forensic imaging itu penting?
Forensic imaging mencegah hilangnya data asli. Alat dan teknik pencitraan ini adalah satu-satunya cara untuk memastikan bahwa data elektronik dapat diterima sebagai bukti dalam pengadilan atau proses hukum.
Citra rinci dari sistem memori atau perangkat penyimpanan utama memberikan informasi akurat tentang isi perangkat tersebut, memungkinkan para ahli forensik untuk menganalisis masalah yang ada maupun yang berpotensi muncul. Namun, untuk audit hukum atau audit kepatuhan dalam investigasi forensik, penegak hukum memerlukan data yang akurat dan dapat diverifikasi.