Jumat, 26 Oktober 2012

Disk Forensik Bag 2


1.4 Fasilitas
File System tradisional menawarkan fasilitas untuk membuat, memindah dan menghapus file dan direktrori. File System tradisional masih kekurangan fasilitas untuk membuat link tambahan ke direktrori, merubah link parent, dan membuat link bidireksional ke file.

File system tradisional juga menawarkan fasilitas untuk memotong, menambah catatan, membuat, memindah, menghapus dan modifikasi file di tempat. Mereka tidak menawarkan fasilitas untuk menambah di awal atau untuk meghapus dari bagian awal file, membiarkan penyisipan tunggal sembarang ke file atau penghapusan dari file. Operasi yang disediakan sangat asimetris dan kekurangan manfaat dalam konteks yang tidak diharapkan. Misalnya, pipe interproses dalam Unix harus dilakukan di luar file system karena konspe pipe tidak menawarkan pemotongan dari awal file.

1.5 Keamanan akses
Akses aman ke dalam operasi file system dasar dapat didasarkan pada skema Access Control List atau Capability. Hasil riset menunjukkan bahwa ACL sulit mengamankan secara patut. File System komersial masih menggunakan Access Control List.

2. Tipe-tipe File System
Tipe-tipe File System dapat diklasifikaskan ke dalam disk file system, file system jaringan dan file system untuk tujuan khusus.

2.1 File system Disk
Sebuah file system disk adalah file system yang didesain untuk menyimpan data pada sebuah media penyimpan data, umumnya disk drive baik yang langsung atau tidak langsung terhubung ke komputer. Contoh File System Disk misalnya FAT (FAT 12, FAT 16, FAT 320), NTFS, HFS, HFS+, ext2, ext3, ISO 9660, ODS-5 dan UDF. Beberapa File System Disk ada yang termasuk file system journaling atau file system versioning.

2.2 File System Flash
Sebuah file system Flash adalah file system yang didesain untuk menyimpan data pada media flash memory. Hal ini menjadi lazim ketika jumlah perangkat mobile semakin banyak dan kapasitas memory flash yang semakin besar.

Block device layer dapat mensimulasikan sebuah disk drive agar file system disk dapat digunakan pada flash memory, tapi hal ini kurang optimal untuk beberapa alasan. Menghapus blok. Blok Flash memory harus dihapus sebelum dapat ditulis. Waktu yang dibutuhkan untuk menghapus sebuah blok bisa jadi signifikan, dan hal ini juga bermanfaat untuk menghapus blok yang tidak dipakai saat media dalam keadaan idle. Random Access. file system Disk ditingkatkan untuk mencegah pencarian disk, Flash memory tidak membebankan proses pencarian sama sekali . Level pemakaian: media memori flash cenderung mudah rusak ketika satu blok tunggal di-overwrite secara berulang; file system flash didesian untuk me-write secara merata

2.3 File System Database
Konsep baru untuk manajemen file adalah konsep file system berbasis database. Sebagai perbaikan bagi Manajemen terstruktur hirarkis, file diidentifikasi oleh karakteristiknya, seperti tipe file, topik, pembuat atau metadata yang sama.

2.4 File System Transaksional
Setiap operasi disk dapat melibatkan perubahan ke sejumlah file dan struktur disk yang berbeda. Dalam banyak kasus, perubahan ini berhubungan. Hali in iberarti bahwa operasi ini dieksekusi pada waktu yang sama. Ambil contoh ketika sebuah Bank mengirimkan uang ke Bank lain secara elektronik. Komputer Bank akan ‘mengirim’ perintah transfer ke Bank lain dan meng-update record-nya untuk menunjukkan bahwa telah terjadi transaksi. Jika untuk beberapa alasan terjadi crash antar komputer sebelum komputer berhasil mengupdate record-nya sendiri, maka tidak akan ada tidak akan ada record transfer tapi Bank akan kehilangan uangnya. Pemrosesan transaksi memperkenalkan jaminan bahwa pada tiap point ketika transaksi berlangsung, sebuah transaksi dapat disudahi secara tuntas atau diulang sepenuhnya. Hal ini berarti jika terjadi crash atau kegagalan power, setelah recovery, kondisi yang disimpan akan tetap. File System journaling adalah salah satu teknik yang digunakan untuk mengenalkan konsistensi level-transaksi ke dalam struktur file system.

2.5 File System Jaringan
File System Network adalah file system yang bertindak sebagai klien untuk protokol akses file jarak jauh, memberikan akses ke file pada sebuah server. Contoh dari File system network ini adalah klien protokol NFS, AFS, SMB, dan klien FTP dan WebDAV

2.6 File System untuk Tujuan khusus
File System untuk tujuan khusus adalah file system yang tidak termasuk disk file system atau file system Jaringan. Termasuk dalam kategori ini adalah sistem di mana file ditata secara dinamis oleh software, ditujukan untuk tujuan tertentu seperti untuk komunikasi antar proses komputer atau space file sementara.
File system untuk tujuan khusus sangat banyak dipakai oleh OS yang berpusat pada file seperti UNIX. Contoh file system ini adalah file system procfs (/proc) yang dipakai oleh beberapa varian Unix, yang memberikan akses ke informasi mengenai proses dan fitur-fitur dari OS

2.7 File System Journaling
File system journaling adalah file system yang mencatat perubahan ke dalam jurnal (biasanya berupa log sirkuolar dalam area tertentu) sebelum melakukan perubahan ke file system. File system seperti ini memiliki kemungkinan yang lebih kecil mengalami kerusakan saat terjadi power failure atau system crash.

Meng-update file system untuk menunjukkan perubahan ke file dan direktori biasanya membutuhkan banyak operasi write yang terpisah. Sebagai contoh, operasi delete dalam file system Sistem Unix melibatkan dua proses:

1. menghilangkan entri direktori

2. menandai inode dan space file sebagai space yang kosong Jika terjadi crash antara proses 1 dan 2, akan akan inode yang rusak. Di sisi lain, jika hanya proses 2 yang dijalankan pertama kali sebelum crash maka file yang belum dihapus Akan ditandai sebagai kosong dan mungkin akan ditumpuk dengan file lain.
Dalam file system non-journaling, mencari dan memperbaiki kerusakan ini akam membutuhkan penelusuran menyeluruh pada struktur datanya. Hal ini akan memakan waktu lama jika file system tersebut besar dan jika bandwidth I/O kecil.
File system journaling menjaga jurnal perubahan yang akan dibuat, setiap waktu. Ketika terjadi crash, pemulihan dapat dilakukan dengan simple dengan mengulang perubahan dari jurnal ini hingga file system kembali konsisten.

3. Beberapa File system yang pernah dikembangkan Berikut ini adalah beberapa file system yang terkenal yang pernah dikembangkan. File system-file system berikut terutama dikembangkan untuk Sistem Operasi Windows dan Unix atau Linux. Namun, ada juga file system yang dapat berjalan baik di Linux maupun di Windows.

3.Mengenal File Sistem
Sebelum media dapat digunakan untuk menyimpan data, biasanya media tersebut harus dipartisi dan diformat ke dalam logical volume terlebih dulu. Mempartisi adalah suatu aktivitas untuk membagi media secara logikal ke dalam bagian-bagian yang berfungsi sebagai unit fisik terpisah. Logical volume adalah sebuah partisi atau kumpulan partisi yang berfungsi sebagai satu kesatuan yang telah diformat dengan suatu filesistem. Beberapa jenis media, seperti disket, dapat berisi paling banyak satu partisi (dan sebagai konsekuensi, satu logical volume). Format logical volume ditentukan oleh filesistem yang dipilih.Suatu filesistem menentukan cara file dinamai, disimpan, diorganisir dan diakses pada logical volumes. Terdapat beragam filesistem, masing-masing menyediakan fitur dan struktur data yang unik. Namun demikian, semua filesistem memiliki beberapa ciri umum.
Pertama, mereka menggunakan konsep direktori dan file untuk mengorganisir dan menyimpan data. Direktori adalah struktur organisasional yang digunakan untuk mengelompokkan file. Selain file, direktori dapat berisi direktori lain yang disebut subdirektori. Kedua, filesistem menggunakan beberapa struktur data untuk menunjuk lokasi file pada media. Mereka juga menyimpan masing-masing file data yang  ditulis ke media dalam satu atau lebih unit alokasi file. Hal  ini dikenal sebagai  cluster oleh beberapa filesistem (misalnya File Allocation Table [FAT], NT File System [NTFS]) dan blok oleh filesistem lainnya (misalnya filesistem Unix dan Linux). Sebuah unit alokasi file adalah sebuah kelompok sektor,  yang merupakan unit terkecil yang dapat diakses pada suatu media.

Berikut ini adalah beberapa filesystem yang umum digunakan:

3.1 FAT
FAT merupakan File System yang digunakan dalam Sistem Operasi Windows. Nama FAT berasal dari penggunaan tabel yang memusatkan informasi tentang area mana milik file yang kosong atau mungkin tidak dipakai, dan di mana setiap file yang disimpan dalam disk. Untuk membatasi ukuran tabel, space disk dialokasikan ke file dalam grup-grup sektor hardware yang bersebelahan, disebut cluster. Ketika disk drive berkembang, jumlah maksimum cluster pun meningkat dan begitu juga jumlah bit yang mengidentifikasikan bahwa cluster telah berkembang. Versi pengembangan dari format file system FAT dinamai sesuai dengan jumlah bit tabel elemennya, yaitu: FAT12, FAT16 dan FAT32.
FAT12. FAT12 merupakan file sistem asli dari FAT yang pertama kali digunakan dalam sistem operasi MS-DOS. FAT12 bisa diakses oleh MS-DOS dan semua OS Windows. FAT12 menggunakan sebuah entri FAT 12-bit untuk menunjuk entri dalam file sistem atau dengan kata lain menggunakan ukuran unit alokasi yang memiliki batas hingga 12 bit. Batas kapasitas elemen FAT12 mencapai hingga 32 MB. Berikut bentuk organisasi disk pada FAT12 sistem file.
 


-    FAT16. MS-DOS, Windows 95/98/Nt/2000/Xp, Server Windows 2003, dan  beberapa sistem operasi UNIX mendukung FAT16 secara asli. FAT16 biasanya juga digunakan untuk alat multimedia seperti audio player dan kamera digital. FAT16 menggunakan ukuran unit alokasi yang memiliki batas hingga 16 bit. Volume FAT16 terbatas hingga maksimum 2 GB di dalam MS-DOS dan Windows 95/98. Namun saat ini Windows NT dan sistem operasi yang lebih baru meningkatkan ukuran volume maksimum FAT16 menjadi 4 GB.
-    FAT32. Diperkenalkan mulai Windows 95 OEM Service Release 2 (OSR2), Windows 98/2000/XP, dan Windows Server 2003 mendukung FAT32 secara asli, seperti halnya beberapa alat multimedia. FAT32 menggunakan ukuran unit alokasi yang memiliki batas hingga 32 bit. Ukuran maksimum volume FAT32 adalah 2 terabytes (TB).

Perbandingan FAT 12 or FAT 16 or FAT 32

3.2 NTFS (New Technology File System)
NTFS adalah suatu filesistem dapat dipulihkan, yang berarti bahwa ia dapat secara otomatis mengembalikan konsistensi filesistem manakala  terjadi kesalahan. Sebagai tambahan, NTFS mendukung data kompresi dan enkripsi, dan memungkinkan ijin tingkat user dan grup didefinisikan untuk file dan direktori. Ukuran maksimum volume NTFS adalah 2TB.

NTFS merupakan file system standar untuk Windows NT termasuk windows 200, XP, Server 2003, Windows Server 2008 dan Wondows Vista. NTFS menggantikan file system FAT sebagai file system yang dipakai untuk Sistem Operasi Windows. Versi rilis NTFS ada beberapa, sebagai berikut:
. v1.0 with NT 3.1, dirilis pertengahan-1993
. v1.1 with NT 3.5 dirilis 1994
. v1.2 (pertengahan -1995) and NT 4 (pertengahan -1996)
. v3.0 dari Windows 2000
. v3.1 dari Windows XP (2001), Windows Server 2003 (2003), Windows Vista
(pertengahan -2005) dan Windows Server 2008

Dalam NTFS, semua file data – nama file, tangal pembuatan, ijin akses dan isi – disimpan dalam metadata dalam Master File Table (MFT). NTFS mengijinkan setiap urutan 16-bit nilai utuk encoding nama (nama file, nama stream, nama index, dll). Master File table mengandung metadata tentang setiap file, direktori dan metafile dalam suatu volume dengan partisi NTFS. Metadata itu termasuk nama filem lokasim ukuran dan ijinnya. Strukturnya mendukung algoritma yang memperkecil disk fragmentation.

Tujuan spesifik dari NTFS adalah:

-          Reliability (Keandalan)
Satu hal yang penting dari sebuah file system yang serius adalah bahwa file system tersebut harus dapat pulih kembali dari masalah tanpa kehilangan data hasil. Disini NTFS mencegah hilangnya data dan memperkecil toleransi dari kesalahan dalam processing.
-           Security dan Access Control (Kontrol Akses dan Keamanan)
Kelemahan dari FAT adalah ketidakmampuan mengontrol   akses file atau folder dari hard disk, sehingga memungkinkan pihak luar untuk mengubah data pada suatu sistem jaringan.
-          Breaking Size Barriers (Menghambat Ukuran)
Karena pada sistem FAT dalam hal ini FAT16 tidak dapat mempartisi lebih dari 4GB, sedang NTFS didesain untuk partisi yang jauh lebih besar.
-           Storage Efficiency (Efisiensi Penyimpanan)
NTFS lagi-lagi memperbaiki kelemahan pada FAT16 karena pada sistem ini memungkinkan terjadinya ketidak efisienan pada penyimpanan pada kapasitas hard disk. Untuk itu NTFS menggunakan metode lain dalam alokasi kapasitas hard disk tersebut.
-          Long File Names (Panjang Nama File)
NTFS memungkinkan nama sebuah file hingga 255 karakter, dibandingkan dengan pada FAT adalah 8+3 karakter.
-          Networking (Jaringan)
Saat ini networking berkembang pesat dengan NTFS memungkinkan networking dalam skala besar.
-          Storage Fault Tolerance (Penyimpanan Toleransi Kesalahan)
Data-redundant storage methods dapat diterapkan pada NTFS. Hal ini berguna dalam menjamin dan melindungi jika suatu data/berkas mengalami kerusakan dengan mengkopi ulang data yang sama dari disk mirror.
-          Multiple Data Stream (Beberapa Data Stream)
NTFS dapat terdiri dari lebih 1 stream. Stream tambahan ini dapat berisi berbagai jenis data, walau data itu hanya mendeskripsikan         berkas atau metadata.
-          Unicode Names (Unicode Nama)
Unicode merupakan paket karakter standar yang digunakan pada NTFS dan menggantikan karakter older-single byte ASCII. Setiap karakter pada kebanyakan bahasa yang natural adalah direpresentasikan dengan double-byte number dalam paket karakter Unicode.
-          Improved File Attribute Indexing (Meningkatkan Index File Atribut)
Dalam NTFS juga terdapat kemampuan untuk memberi indeks pada atribut berkas, fungsinya ialah sebagai penglokasian dan sorting.
-          Data Compression (Kompresi Data)
Dalam kompresi data metode yang digunakan adalah Lempel-Ziv Compression. Dengan algoritma ini dipastikan tidak ada data yang hilang pada proses kompresi.

Lainnya :
Bab 1 :
http://leenda-hae.blogspot.com/2012/10/disk-forensik-bab-1.html 
Bab 3:
http://lili-imhappy.blogspot.com/2012/10/disk-forensik-bag-3.html 
Bab 4 :
http://akukikitriratnasari.blogspot.com/2012/10/disk-forensik-bab-4.html 
Bab 5 :
http://fuad-hatami.blogspot.com/2012/10/disk-forensik.html 



Referensi : 
http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf  
http://en.wikipedia.org/wiki/File_carving
http://en.wikipedia.org/wiki/Disk_Copy  
http://sleepysilvi.blogspot.com/2011/10/disk-forensik-bagian-1.html 
http://ratumeta-blog-me.blogspot.com/2011/10/pengantar-forensik-teknologi-inf-disk.html

Tidak ada komentar:

Posting Komentar