2.3. Data Volatil vs Non-Volatil
Berdasarkan
sifatnya, informasi terbagi menjadi
dua jenis, yakni :
(1) Data volatil
Merupakan data sistem yang bersifat transien sehingga harus sesegera mungkin diambil /dicatat
setelah terjadi insiden. Data ini bersumber dari keadaan hubungan jaringan,
tabel router, tabel proses, open port dan user.
Untuk menangkap data ini diperlukan tool khusus.
Data
volatil terdiri dari :
Ø Data
jaringan
Yakni komunikasi aktual antara sistem sasaran dengan sistem lainnya
Ø Daftar
proses aktif
Berisi daftar
program atau daemon yang aktif
pada sistem sasaran
Ø Daftar
logged-in user
Berisi daftar
pengguna pada sistem sasaran
Ø Open
file
File (hidden)
atau Trojan (rootkit) apa yang dimasukkan ke sistem sasaran
(2) Informasi non-volatil
Merupakan informasi yang masih
ada setelah proses reboot,
yang terdiri dari :
Ø
Configuration setting
Ø
File
data dan sistem
Ø
Registry setting
2.4. Proses Forensik Jaringan
Proses
forensik jaringan terdiri dari beberapa tahap, yakni :
1) Akuisisi dan pengintaian (reconnaissance)
Yaitu proses
untuk mendapatkan/mengumpulkan
data volatil (jika
bekerja pada sistem online) dan data
non-volatil (disk terkait) dengan menggunakan
berbagai tool.
2) Analisa
Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi
analisa real-time dari data volatil, analisa log-file, korelasi
data dari berbagai
divais pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh.
3) Recoveri
Yaitu proses
untuk mendapatkan/memulihkan
kembali data
yang telah hilang
akibat adanya intrusi, khususnya informasi
pada disk yang berupa file atau direktori.
Gambar 1. Proses forensik
2.4.1. Akuisisi dan Pengintaian (Reconnaissance)
Tahap
awal proses forensik merupakan hal yang kritis karena menentukan keberhasilan proses forensik.
Tahap ini merupakan proses pengumpulan data dan pengintaian.
Tidak ada komentar:
Posting Komentar