Embed Size (px)
DESCRIPTION
Citation preview
DISK FORENSIK
Kelompok 2
Deby Oktavia (55409571)
Fuad Hatami (50409063)
Kiki Tri Ratnasari (51409311)
Lili Andini (55409680)
Linda Mella Listiara (55409579)
4IA03
DISK FORENSIKKomputer forensik dapat diartikan sebagai pengumpulan dan analisis data dari berbagai
sumber daya komputer yang mencakup sistem komputer, jaringan komputer, jalur komunikasi,
dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan.
Komputer forensik merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari oleh
beberapa bidang keilmuan lainnya yang sudah ada. Bahkan, komputer forensik pun dapat
dispesifikasi lagi menjadi beberapa bagian, seperti Disk Forensik, System Forensik, Network
Forensik, dan Internet Forensik.
Pengetahuan Disk Forensik sudah terdokumentasi dengan baik dibandingkan dengan
bidang forensik lainnya. Beberapa kasus yang dapat dilakukan dengan bantuan ilmu Disk
Forensik antara lain mengembalikan file yang terhapus, mendapatkan password, mengubah
partisi harddisk, mencari jejak badsector, menganalisis File Akses dan System atau Aplikasi
Logs, dan sebagainya.
Tentunya untuk mendapatkan semua informasi tersebut, diperlukan sejumlah software,
seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernah
digunakan oleh FBI (Federal Bureau Investigation) dalam kasus Zacarias Moussaoui, dan
JaguarForensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa feature menarik,
seperti generator report untuk memenuhi kebutuhan komputer forensik.
Disk forensik mencakup kemampuan dalam:
Mendapatkan “bit-stream” image. Hal ini mencakup slack, unallocated space dan file
fragments yang dihapus
Penyidik harus mampu mendemonstrasikan pelaksanaan investigasi dengan aturan dan bukti
yang layak
Integritas informasi harus disajikan sedemikian rupa sehingga terbukti keabsahannya, ini
identik dengan sidik jari digital.
Beberapa hal yang bisa dilakukan dengan adanya disk forensik:
Me-recover file-file yang terhapus, mendapatkan password dan kunci cryptographic
Menganalisa akses file, perihal memodifikasi dan menciptakan file
Menganalisa dan memanfaatkan system logs dan log software aplikasi (misalnya: monitoring
akses file di jaringan atau penggunaan software aplikas dan utility). Dengan demikian
aktivitas pengguna dapat dilacak
Mengenal Metadata pada Dokumen
Menangani dokumen forensik akan berurusan dengan dokumen.
Yang dimaksud dengan metadata adalah data tentang data. Sebuah dokumen yang
dihasilkan dari software metadata dalam pengolah kata, umumnya mempunyai metadata
seperti author (pembuat dokumen), organizations, revisions, previous authors (daftar nama yang
telah melakukan akses terhadap dokumen tersebut), template (jenis template yang digunakan
dokumen), computer name, harddisk (menunjukkan lokasi dari file tersebut), network
server (sebagai informasi perluasan dari harddisk), time, time stamps (bergantung dari sistem
operasi, dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file terakhir kali
dibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi, yaitu ketika ada perubahan di
dalam file), dan printed (kapan dokumen terakhir kali dicetak).
Beberapa metadata pada dokumen dapat dilihat secara langsung, namun beberapa
metadata harus diekstrak untuk dapat melihatnya. Sebagai contoh untuk menampilkan metadata
pada dokumen Ms.Word secara langsung dapat dilakukan melalui menu properties. Untuk
melakukan ekstrak data dengan lebih detail dibutuhkan alat bantu seperti Metadata Analyer
(www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini dapat
menampilkan informasi metadata yang tidak tampak.
1. File Carving
Seperti dijelaskan sebelumnya, adalah mungkin merecovery file dari file system yang
informasi partisinya sudah rusak atau volumenya sebagian telah di reformat. Ini dapat dilakukan
melalui tehnik bernama data carving atau file carving, di mana sebuah program mencari sejenis
file tertentu dengan mencari pola jenis file tertentu Satu hal menarik dari teknik ini adalah ia
berjalan serba otomatis: kita hanya menunjukan partisi atau tempat partisi berada, kemudian
memilih tempat untuk merstore file, dan memungkinkan program melakukan tugas beratnya.
Pencipta TestDisk telah menciptakan tool istimewa file carving bernama PhotoRec, yang
merecovery format file umum dibanyak media. Setting default PhotoRec bekerja baik, namun
kamu jika membutuhkan control, ada sejumlah opsi yang dapat diset Paranoid Mode, normal
disabled, merecover segala sesuatu termasuk pecahan file korup – jika mengaktifkannya.
Anda akan mendapat lebih banyak data yang dapat di recovery, tetapi proses recovery
lebih lama. Kemudian juga bisa memilih, Keep corrupted files akan merecovery file yang tidak
sepenuhnya terbaca dengan harapan user dapat menyelamatkan sebagian di lain hari, mungkin
dengan hex editor atau tool lain. Perlu di ingat pula, file yang di recovery dengan PhotoRec tidak
mempunyai nama seperti nama file aslinya, tetapi metadata internal (misalnya MP3 tag atau data
EXIF) masih ada. Perlu dicatat pula jika mencari jenis file spesifik dalam file system relatif
kecil, dapat menggunakan opsi internal yang ada di program untuk menyempitkan pencarian dan
tidak membuang waktu recovery. TestDisk dan PhotoRec keduanya disertakan secara default di
Partedmagic, karenanya ini care termudah mendapatkan keduanya dan membuat bekerja
langsung – namun dapat pula mendownload keduanya sebagai program terpisah dan
menggunakannya seperti biasa. Keduanya juga di integrasikan ke BartPE; kamu juga bisa
memount mereka di removable drive, booting Vista installation DVD (jika memilikinya), masuk
ke System Recovery command Line, dan jalankan program dari sana.
2. Aplikasi Lanjutan DataCarving
TestDisk dan PhotoRec hanya pucuk dari gunung es, namun program-program canggih
biasanya diperuntukan tugas forensik lengkap dan tidak untuk pemakai biasa. Foremost
tampaknya merupakan nenek moyang dari semua program data carving yang aslinya
dikembangkan di Kantor Investigasi Khusus Angkatan Udara Amerika Serikat. Sekarang
program ini dirilis menjadi public domain, sehingga dapat dipakai di manapun dan dipakai ulang
oleh program lain. Tapi harap di ingat format binary masih belum ada untuk Foremost; kamu
harus mengompilasi program dari source agar bekerja. Beberapa distro Linux (seperti Ubuntu
Feisty) sudah menyiapkan Foremost versi precompiled di repository software, yang menjadikan
program ini mudah di unduh dan digunakan. Pilihan lainnya adalah Scapel, hasil penulisan ulang
Foremost versi 0.69 – ia lebih gegas, pemakaian memory lebih banyak, dan mempunyai fungsi
bermanfaat lainnya untuk merecovery file lebih canggih. Ia juga belum tersedia dalam bentuk
binary dan harus dikompilasi dari sourec.
Salah satu koleksi tool powerful yang dapat berjalan di beragam platform (UNIX, BSD,
dan Windows menggunakan Library CYGWIN) adalah Sleuth Kit. Seperti halnya Foremost dan
Scalpel, ia dapat mencari file terhapus berdasar hash atau signature, namun ia juga dibekali
banyak fungsi lain. TSK dibekali sejumlah command line tool, yang dapat digunakan bila kamu
merasa nyaman atau mendownload graphical interface bernama Autopsy. Utiliti lainnya adalah
utility yang ada di PartitionSupport.com
Penggunaan komputer yang tersebar luas dan alat digital lain telah mengakibatkan
peningkatan banyaknya jenis media berbeda yang digunakan untuk menyimpan file. Sebagai
tambahan terhadap jenis media yang biasa digunakan seperti disket dan hard drives, file juga
disimpan pada alat seperti PDA dan telepon selular, serta jenis media yang lebih baru, seperti
flash card yang dipopulerkan dengan adanya kamera digital label berikut mendaftarkan jenis
media yang digunakan pada komputer dan alat digital. Daftar ini tidak meliputi setiap jenis
media yang tersedia; melainkan untuk menunjukkan variasi jenis media yang perlu diketahui
seorang analis.
3. File System
File System adalah metode untuk menyimpan dan mengatur file-file dan data yang
tersimpan di dalamnya untuk membuatnya mudah ditemukan dan diakses. File System dapat
menggunakan media penyimpan data seperti HardDisk atau CD Rom. File System juga dapat
melibatkan perawatan lokasi fisik file, juga memberikan akses ke data pada file server dengan
berlaku sebagai klien untuk protokol jaringan (mis. NFS atau SMB klien), atau dapat juga
berlaku sebagai file system virtual dan hanya ada sebagai metode akses untuk data virtual. Lebih
umum lagi, file system merupakan database khusus untuk penyimpanan, pengelolaan, manipulasi
dan pengambilan data.
3.1 Aspek-aspek File System
Kebanyakan file System menggunakan media penyimpan mendasar yang menawarkan
akses ke suatu array dengan blok ukuran tertentu yang dinamakan sector, umumnya dengan
ukuran pangkat 2 (512 bytes atau 1,2, atau 4 KiB). Software File System bertugas menata sektor-
sektor tersebut menjadi file dan direktori, serta mengatur sektor mana milik file mana dan sektor
mana yang belum terpakai. Kebanyakan file system mengalamatkan data dalam unit dengan
ukuran tertentu yang disebut cluster atau blok yang mengandung sejumlah disk sector (biasanya
antara 1-64). Cluster atau blok ini adalah space disk terkecil yang dapat dialokasikan untuk
menyimpan file.
Bagaimanapun, file system bisa jadi tidak perlu menggunakan media penyimpan sama
sekali. File System dapat dipakai untuk menata dan mewakili akses ke setiap data, apakah data
itu disimpan atau dibuat secara dinamis.
3.1.1 Nama File
Tidak peduli apakah file System memiliki media penyimpan atau tidak, file system
umumnya memiliki direktori yang menyesuaikan antara nama file dan file, biasanya dengan
menghubungkan nama file dan suatu index dalam file.
3.1.2 Metadata
Informasi lain yang disimpan biasanya berhubungan dengan tiap file yang ada dalam file
system. Panjang data yang dikandung dalam sebuah file dapat disimpan sebagai nomor blok
yang disediakan untuk file atau sebagai hitungan byte. Waktu di mana file terakhir kali
dimodifikasi dapat disimpan sebagai timestamp dari file. Beberapa file system juga menyimpan
waktu pembuatan file, waktu terakhir kali diakses, dan waktu di mana meta data dari file diubah.
Informasi lain termasuk juga tipe media file (blok, karakter, soket, subdirektori), User-ID
pemilik dan Group-ID, serta setting access permission-nya (read only, executeble, dll).
Atribut sebarang dapat dilekatkan pada file system tingkat lanjut, seperti XFS, ext2/ext3,
beberapa versi UFS dan HFS+ menggunakan atribut file diperluas. Fitur ini diterapkan pada
kernel Linux, FreeBSD dan MacOS X, serta membolehkan metadata untuk dihubungkan dengan
file pada level file system. Misalnya info tentang pembuat dokumen, pengkodean karakter dari
dokumen plain-text, atau checksum.
3.1.3 File system hirarkis
File System hirarkis merupakan minat riset awal dari Dennis Ritchie. Implementasi
sebelumnya terbatas pada beberapa level, terutama IBM, bahkan pada database awal mereka
seperti IMS. Setelah suksesnya Unix, Ritchie memperluas konsep file system ini ke dalam setiap
objek dalam pengembangan Sistem Operasi berikutnya yang dikembangkannya, seperti Plan 9
dan Inferno.
3.1.4 Fasilitas
File System tradisional menawarkan fasilitas untuk membuat, memindah dan menghapus
file dan direktrori. File System tradisional masih kekurangan fasilitas untuk membuat link
tambahan ke direktrori, merubah link parent, dan membuat link bidireksional ke file.
File system tradisional juga menawarkan fasilitas untuk memotong, menambah catatan,
membuat, memindah, menghapus dan modifikasi file di tempat. Mereka tidak menawarkan
fasilitas untuk menambah di awal atau untuk meghapus dari bagian awal file, membiarkan
penyisipan tunggal sembarang ke file atau penghapusan dari file. Operasi yang disediakan sangat
asimetris dan kekurangan manfaat dalam konteks yang tidak diharapkan. Misalnya, pipe
interproses dalam Unix harus dilakukan di luar file system karena konspe pipe tidak menawarkan
pemotongan dari awal file.
3.1.5 Keamanan akses
Akses aman ke dalam operasi file system dasar dapat didasarkan pada skema Access
Control List atau Capability. Hasil riset menunjukkan bahwa ACL sulit mengamankan secara
patut. File System komersial masih menggunakan Access Control List.
3.2 Tipe-tipe File System
Tipe-tipe File System dapat diklasifikaskan ke dalam disk file system, file system
jaringan dan file system untuk tujuan khusus.
3.2.1 File system Disk
Sebuah file system disk adalah file system yang didesain untuk menyimpan data pada
sebuah media penyimpan data, umumnya disk drive baik yang langsung atau tidak langsung
terhubung ke komputer. Contoh File System Disk misalnya FAT (FAT 12, FAT 16, FAT 320),
NTFS, HFS, HFS+, ext2, ext3, ISO 9660, ODS-5 dan UDF. Beberapa File System Disk ada
yang termasuk file system journaling atau file system versioning.
3.2.2 File System Flash
Sebuah file system Flash adalah file system yang didesain untuk menyimpan data pada
media flash memory. Hal ini menjadi lazim ketika jumlah perangkat mobile semakin banyak dan
kapasitas memory flash yang semakin besar.
Block device layer dapat mensimulasikan sebuah disk drive agar file system disk dapat
digunakan pada flash memory, tapi hal ini kurang optimal untuk beberapa alasan. Menghapus
blok. Blok Flash memory harus dihapus sebelum dapat ditulis. Waktu yang dibutuhkan untuk
menghapus sebuah blok bisa jadi signifikan, dan hal ini juga bermanfaat untuk menghapus blok
yang tidak dipakai saat media dalam keadaan idle. Random Access. file system Disk
ditingkatkan untuk mencegah pencarian disk, Flash memory tidak membebankan proses
pencarian sama sekali . Level pemakaian: media memori flash cenderung mudah rusak ketika
satu blok tunggal di-overwrite secara berulang; file system flash didesian untuk me-write secara
merata
3.2.3 File System Database
Konsep baru untuk manajemen file adalah konsep file system berbasis database. Sebagai
perbaikan bagi Manajemen terstruktur hirarkis, file diidentifikasi oleh karakteristiknya, seperti
tipe file, topik, pembuat atau metadata yang sama.
3.2.4 File System Transaksional
Setiap operasi disk dapat melibatkan perubahan ke sejumlah file dan struktur disk yang
berbeda. Dalam banyak kasus, perubahan ini berhubungan. Hali in iberarti bahwa operasi ini
dieksekusi pada waktu yang sama. Ambil contoh ketika sebuah Bank mengirimkan uang ke Bank
lain secara elektronik. Komputer Bank akan ‘mengirim’ perintah transfer ke Bank lain dan
meng-update record-nya untuk menunjukkan bahwa telah terjadi transaksi. Jika untuk beberapa
alasan terjadi crash antar komputer sebelum komputer berhasil mengupdate record-nya sendiri,
maka tidak akan ada tidak akan ada record transfer tapi Bank akan kehilangan uangnya.
Pemrosesan transaksi memperkenalkan jaminan bahwa pada tiap point ketika transaksi
berlangsung, sebuah transaksi dapat disudahi secara tuntas atau diulang sepenuhnya. Hal ini
berarti jika terjadi crash atau kegagalan power, setelah recovery, kondisi yang disimpan akan
tetap. File System journaling adalah salah satu teknik yang digunakan untuk mengenalkan
konsistensi level-transaksi ke dalam struktur file system.
3.2.5 File System Jaringan
File System Network adalah file system yang bertindak sebagai klien untuk protokol
akses file jarak jauh, memberikan akses ke file pada sebuah server. Contoh dari File system
network ini adalah klien protokol NFS, AFS, SMB, dan klien FTP dan WebDAV.
3.2.6 File System untuk Tujuan khusus
File System untuk tujuan khusus adalah file system yang tidak termasuk disk file system
atau file system Jaringan. Termasuk dalam kategori ini adalah sistem di mana file ditata secara
dinamis oleh software, ditujukan untuk tujuan tertentu seperti untuk komunikasi antar proses
komputer atau space file sementara.
File system untuk tujuan khusus sangat banyak dipakai oleh OS yang berpusat pada file
seperti UNIX. Contoh file system ini adalah file system procfs (/proc) yang dipakai oleh
beberapa varian Unix, yang memberikan akses ke informasi mengenai proses dan fitur-fitur dari
OS.
3.2.7 File System Journaling
File system journaling adalah file system yang mencatat perubahan ke dalam jurnal
(biasanya berupa log sirkuolar dalam area tertentu) sebelum melakukan perubahan ke file
system. File system seperti ini memiliki kemungkinan yang lebih kecil mengalami kerusakan
saat terjadi power failure atau system crash.
Meng-update file system untuk menunjukkan perubahan ke file dan direktori biasanya
membutuhkan banyak operasi write yang terpisah. Sebagai contoh, operasi delete dalam file
system Sistem Unix melibatkan dua proses:
Menghilangkan entri direktori
Menandai inode dan space file sebagai space yang kosong Jika terjadi crash antara proses
1 dan 2, akan akan inode yang rusak. Di sisi lain, jika hanya proses 2 yang dijalankan
pertama kali sebelum crash maka file yang belum dihapus Akan ditandai sebagai kosong
dan mungkin akan ditumpuk dengan file lain.
Dalam file system non-journaling, mencari dan memperbaiki kerusakan ini akam
membutuhkan penelusuran menyeluruh pada struktur datanya. Hal ini akan memakan waktu
lama jika file system tersebut besar dan jika bandwidth I/O kecil. File system journaling
menjaga jurnal perubahan yang akan dibuat, setiap waktu. Ketika terjadi crash, pemulihan dapat
dilakukan dengan simple dengan mengulang perubahan dari jurnal ini hingga file system kembali
konsisten. Beberapa File system yang pernah dikembangkan Berikut ini adalah beberapa file
system yang terkenal yang pernah dikembangkan. File system-file system berikut terutama
dikembangkan untuk Sistem Operasi Windows dan Unix atau Linux. Namun, ada juga file
system yang dapat berjalan baik di Linux maupun di Windows.
3.3 Mengenal File Sistem
Sebelum media dapat digunakan untuk menyimpan data, biasanya media tersebut harus
dipartisi dan diformat ke dalam logical volume terlebih dulu. Mempartisi adalah suatu aktivitas
untuk membagi media secara logikal ke dalam bagian-bagian yang berfungsi sebagai unit fisik
terpisah. Logical volume adalah sebuah partisi atau kumpulan partisi yang berfungsi sebagai satu
kesatuan yang telah diformat dengan suatu filesistem. Beberapa jenis media, seperti disket, dapat
berisi paling banyak satu partisi (dan sebagai konsekuensi, satu logical volume). Format logical
volume ditentukan oleh filesistem yang dipilih.Suatu filesistem menentukan cara file dinamai,
disimpan, diorganisir dan diakses pada logical volumes. Terdapat beragam filesistem, masing-
masing menyediakan fitur dan struktur data yang unik. Namun demikian, semua filesistem
memiliki beberapa ciri umum.
Pertama, mereka menggunakan konsep direktori dan file untuk mengorganisir dan
menyimpan data. Direktori adalah struktur organisasional yang digunakan untuk
mengelompokkan file. Selain file, direktori dapat berisi direktori lain yang disebut subdirektori.
Kedua, filesistem menggunakan beberapa struktur data untuk menunjuk lokasi file pada media.
Mereka juga menyimpan masing-masing file data yang ditulis ke media dalam satu atau lebih
unit alokasi file. Hal ini dikenal sebagai cluster oleh beberapa filesistem (misalnya File
Allocation Table [FAT], NT File System [NTFS]) dan blok oleh filesistem lainnya (misalnya
filesistem Unix dan Linux). Sebuah unit alokasi file adalah sebuah kelompok sektor, yang
merupakan unit terkecil yang dapat diakses pada suatu media.
Berikut ini adalah beberapa filesystem yang umum digunakan:
3.3.1 FAT
FAT merupakan File System yang digunakan dalam Sistem Operasi Windows. Nama
FAT berasal dari penggunaan tabel yang memusatkan informasi tentang area mana milik file
yang kosong atau mungkin tidak dipakai, dan di mana setiap file yang disimpan dalam disk.
Untuk membatasi ukuran tabel, space disk dialokasikan ke file dalam grup-grup sektor hardware
yang bersebelahan, disebut cluster. Ketika disk drive berkembang, jumlah maksimum cluster pun
meningkat dan begitu juga jumlah bit yang mengidentifikasikan bahwa cluster telah berkembang.
Versi pengembangan dari format file system FAT dinamai sesuai dengan jumlah bit tabel
elemennya, yaitu: FAT12, FAT16 dan FAT32.
FAT12. FAT12 merupakan file sistem asli dari FAT yang pertama kali digunakan dalam
sistem operasi MS-DOS. FAT12 bisa diakses oleh MS-DOS dan semua OS Windows. FAT12
menggunakan sebuah entri FAT 12-bit untuk menunjuk entri dalam file sistem atau dengan kata
lain menggunakan ukuran unit alokasi yang memiliki batas hingga 12 bit. Batas kapasitas elemen
FAT12 mencapai hingga 32 MB. Berikut bentuk organisasi disk pada FAT12 sistem file.
FAT16. MS-DOS, Windows 95/98/Nt/2000/Xp, Server Windows 2003, dan beberapa
sistem operasi UNIX mendukung FAT16 secara asli. FAT16 biasanya juga digunakan
untuk alat multimedia seperti audio player dan kamera digital. FAT16 menggunakan
ukuran unit alokasi yang memiliki batas hingga 16 bit. Volume FAT16 terbatas hingga
maksimum 2 GB di dalam MS-DOS dan Windows 95/98. Namun saat ini Windows NT
dan sistem operasi yang lebih baru meningkatkan ukuran volume maksimum FAT16
menjadi 4 GB
FAT32. Diperkenalkan mulai Windows 95 OEM Service Release 2 (OSR2), Windows
98/2000/XP, dan Windows Server 2003 mendukung FAT32 secara asli, seperti halnya
beberapa alat multimedia. FAT32 menggunakan ukuran unit alokasi yang memiliki batas
hingga 32 bit. Ukuran maksimum volume FAT32 adalah 2 terabytes (TB).
Perbandingan FAT 12 or FAT 16 or FAT 32
3.3.2 NTFS (New Technology File System)
NTFS adalah suatu filesistem dapat dipulihkan, yang berarti bahwa ia dapat secara
otomatis mengembalikan konsistensi filesistem manakala terjadi kesalahan. Sebagai tambahan,
NTFS mendukung data kompresi dan enkripsi, dan memungkinkan ijin tingkat user dan grup
didefinisikan untuk file dan direktori. Ukuran maksimum volume NTFS adalah 2TB.
NTFS merupakan file system standar untuk Windows NT termasuk windows 200, XP,
Server 2003, Windows Server 2008 dan Wondows Vista. NTFS menggantikan file system FAT
sebagai file system yang dipakai untuk Sistem Operasi Windows. Versi rilis NTFS ada beberapa,
sebagai berikut:
v1.0 with NT 3.1, dirilis pertengahan-1993
v1.1 with NT 3.5 dirilis 1994
v1.2 (pertengahan -1995) and NT 4 (pertengahan -1996)
v3.0 dari Windows 2000
v3.1 dari Windows XP (2001), Windows Server 2003 (2003), Windows Vista
(pertengahan -2005) dan Windows Server 2008
Dalam NTFS, semua file data – nama file, tangal pembuatan, ijin akses dan isi –
disimpan dalam metadata dalam Master File Table (MFT). NTFS mengijinkan setiap urutan 16-
bit nilai utuk encoding nama (nama file, nama stream, nama index, dll). Master File table
mengandung metadata tentang setiap file, direktori dan metafile dalam suatu volume dengan
partisi NTFS. Metadata itu termasuk nama filem lokasim ukuran dan ijinnya. Strukturnya
mendukung algoritma yang memperkecil disk fragmentation.
Tujuan spesifik dari NTFS adalah:
Reliability (Keandalan)
Satu hal yang penting dari sebuah file system yang serius adalah bahwa file system
tersebut harus dapat pulih kembali dari masalah tanpa kehilangan data hasil. Disini NTFS
mencegah hilangnya data dan memperkecil toleransi dari kesalahan dalam processing.
Security dan Access Control (Kontrol Akses dan Keamanan)
Kelemahan dari FAT adalah ketidakmampuan mengontrol akses file atau folder dari
hard disk, sehingga memungkinkan pihak luar untuk mengubah data pada suatu sistem
jaringan.
Breaking Size Barriers (Menghambat Ukuran)
Karena pada sistem FAT dalam hal ini FAT16 tidak dapat mempartisi lebih dari 4GB,
sedang NTFS didesain untuk partisi yang jauh lebih besar.
Storage Efficiency (Efisiensi Penyimpanan)
NTFS lagi-lagi memperbaiki kelemahan pada FAT16 karena pada sistem ini
memungkinkan terjadinya ketidak efisienan pada penyimpanan pada kapasitas hard disk.
Untuk itu NTFS menggunakan metode lain dalam alokasi kapasitas hard disk tersebut.
Long File Names (Panjang Nama File)
NTFS memungkinkan nama sebuah file hingga 255 karakter, dibandingkan dengan pada
FAT adalah 8+3 karakter.
Networking (Jaringan)
Saat ini networking berkembang pesat dengan NTFS memungkinkan networking dalam
skala besar.
Storage Fault Tolerance (Penyimpanan Toleransi Kesalahan)
Data-redundant storage methods dapat diterapkan pada NTFS. Hal ini berguna dalam
menjamin dan melindungi jika suatu data/berkas mengalami kerusakan dengan mengkopi
ulang data yang sama dari disk mirror.
Multiple Data Stream (Beberapa Data Stream)
NTFS dapat terdiri dari lebih 1 stream. Stream tambahan ini dapat berisi berbagai jenis
data, walau data itu hanya mendeskripsikan berkas atau metadata.
Unicode Names (Unicode Nama)
Unicode merupakan paket karakter standar yang digunakan pada NTFS dan
menggantikan karakter older-single byte ASCII. Setiap karakter pada kebanyakan bahasa
yang natural adalah direpresentasikan dengan double-byte number dalam paket karakter
Unicode.
Improved File Attribute Indexing (Meningkatkan Index File Atribut)
Dalam NTFS juga terdapat kemampuan untuk memberi indeks pada atribut berkas,
fungsinya ialah sebagai penglokasian dan sorting.
Data Compression (Kompresi Data)
Dalam kompresi data metode yang digunakan adalah Lempel-Ziv Compression. Dengan
algoritma ini dipastikan tidak ada data yang hilang pada proses kompresi.
3.3.3 ext2
Ext2 atau second extended file system adalah file system untuk kernel Linux. ext2fs
mendukung jenis file dan pemeriksaan filesistem standar Unix untuk memastikan konsistensi
filesistem. Ukuran volume ext2fs maksimum adalah 4 TB. Meskipun bukan termasuk file system
journaling, tapi penerusnya yaitu ext3 menyediakan fitur journaling dan hampir sepenuhnya
kompatibel dengan ext2. File system pertama yang dipakai dalam Sistem Operasi Linux adalah
Minix FS yang hampir bebas sepenuhnya dari bug, namun menggunakan offset 16-bit dan
ukuran maksimum hanya 64 MB. Nama file juga terbatas hanya 14 karakter. Untuk mengatasi
hal ini, dibuatlah file system baru yang dimulai dengan penambahan layer file system virtual
pada kernel Linux.
File system ext dirilis pada April 1992 sebagai file system pertama yang menggunakan
VFS API dan dimasukkan dalam Linux 0.96c. File system ext menyelesaikan dua masalah
Utama dalam Minix FS (ukuran partisi max dan panjang nama file), dan membolehkan partisi
hingga 2GB dan nama file hingga 255 karakter. Namun masih ada masalah: belum ada dukungan
untuk akses terpisah, modifikasi inode dan timestamp modifikasi data. Ext2 didesain dengan
tujuan bahwa file system ini akan dapat dikembangakan lagi, dengan sisa space yang masih
banyak pada struktur datanya untuk dipakai dalam versi mendatang. Fitur seperti POSIX ACL
dan atribut diperluas diimplementasikan pertama kali pada ext2 karena mudah diperluas dan
internalnya sangat dimengerti.
Dalam Kernel Linux hingga 2.6, batasan dalam driver blok berarti bahwa file system ext2
memiliki ukuran file maksimum 2 TiB. Kernel Linux yang lebi baru membolehkan ukuran file
yang lebih besar, namun sistem 32-bit hanya membatasi hingga ukuran file 2 TiB. Ext2 masih
direkomendasikan sebagai file system journaling pada Flash Drive USB bootable dan media
solid-state lainnya. Ext2 melakukan operasi write yang lebih sedikit dibading ext3 karena ext2
tidak perlu melakukan write ke journal. Faktor utama yang mempengaruhi usia flash Drive
adalah siklus hapus, dan juga siklus write, hal inilah yang menyebabkan pemakaian ext2
membuat usia media flash drive lebih panjang. Space dalam ext2 dibagi dalam blok-blok dan
ditata dalam grup-grup blok, sama dnegan grup silinder dalam File System Unix. Hal ini
dilakukan untuk mengurangi fragmentasi external dan mengurangi pencarian disk saat me-read
data yang besar.
Tiap grup blok berisi superblok, bitmap grup blok, bitmap inode diikuti oleh data blok
aktual. Superblok mengandung informasi penting yang krusial untuk proses booting Sistem
Operasi, namun copy back up juga dibuat pada setiap grup blok dari tiap blok dalam file system.
Hanya copy pertama yang ada pada blok pertama file system yang dipakai dalam proses booting.
Deskriptor blok menyimpan nilai bitmap blok, bitmap inode dan table inode awal untuk tiap grup
blok yang nantinya semuanya akan disimpan dalam tabel grup descriptor.
3.3.4 ext3
Ext3 atau third extended file system adalah file system journaling yang umum digunakan
dalam Sistem Operasi Linux. Ext3 merupakan pengembangan versi journaling dari file system
ext2 yang hampir kompatibel secara keseluruhan dengan ext2 dan menyediakan kemampuan
menjurnai yang memungkmkan pemeriksaan konsistensi filesistem dilakukan dengan cepat pada
sejumlah data yang besar.. Adanya fitur journaling inilah yang membuatnya lebih dibanding ext2
yang membuatnya lebih reliable dan menghilagkan keperluan untuk mengecek file system
setelah shutdown yang tidak semestinya. Ukuran volume extSfs maksimum adalah 4 TB.•
ReiserFS.21 ReiserFS didukung oleh Linux dan merupakan filesistem baku bagi beberapa versi
Linux, la memberikan kemampuan menjurnai dan jauh lebih cepat dibandingkan filesistem
ext2fs dan extSfs. Ukuran volume maksimum adalah 16 TB.
Meskipun kecepatannya tidak lebih baik daripada file system Linux lainnya seperti JFS,
ReiserFS dan XFS, tapi ext3 memiliki manfaat yang signifikan yaitu membolehkan upgrade di
tempat dari file system ext2 tanpa harus mem-back up dan me-restore data yang berarti
mengurangi konsumsi daya CPU. Ext3 juga diangap lebih aman dibanding file system Linux
lainnya karena kederhanaannya dan juga uji cobanya yang luas.
File system ext3 menambahkan fitur-fitur ini dibanding pendahulunya:
File system journaling
Penambahan file system secara online
Indeks htree untuk direktori yang lebih luas
Tanpa ini, file system ext3 akan sama saja dengan ext2.
Ada 3 level journaling yang tersedia dalam implementasi ext3 pada Sistem Linux:
Journal (resiko terendah)
Metadata dan isi file disimpan dalam jurnal sebelum dikerjakan ke file system utama.
Ordered (resiko menengah)
Hanya metadata yang disimpan dalam jurnal, isi file tidak disimpan tapi dijamin bahwa
bahwa isi file disimpan ke disk sebelum metadata yang bersesuaian ditandai untuk
dicommit dalam jurnal.
Writeback (resiko tertinggi)
Hanya metadata yang disimpan dalam jurnal, isi file tidak. Isi file mungkin di-write
sebelum atau sesudah jurnal di-update. Akibatnya, file dimodifikasi tepat sebelum crash
dapat terjadi.
Ukuran
BLok
Ukuran file Max
Ukuran file system
Max
1KiB 16GiB <2tib p="p">
2KiB 256GiB <4tib p="p">
4KiB 2TiB <8tib p="p">
8KiB 2TiB <16tib nbsp="nbsp" p="p"
3.4 File system and Sistem Operasi
Hampir semua OS juga menyediakan file system, karena file system adalah bagian
integral dari semua OS. Tugas nyata dari OS microcomputer generasi awal hanyalah berupa
manajemen file. Beberapa OS masa kini memiliki komponen terpisah untuk menangani file
system yang dulunya disebut Disk Operating System (DOS) ini. Dalam beberapa
mikrokomputer, DOS diload secara terpisah dari bagian OS yang lain.
Karena itulah, diperlukan interface antara user dan file system yang disediakan oleh
software dalam Sistem Operasi. Interface ini dapat berupa textual seprti Unix Shell atau grafis
seperti file browser. Jika berupa grafis, seringkali digunakan metafora seperti folder, isi
dokumen, file dan direktori folder.
3.4.1 File system flat
Dalam sebuah file system flat, tidak ada subdirektori – semua file disimpan pada level
media yang sama (root), misal hard disk, floppy disk, dll. Sistem ini menjadi tidak efisien ketika
jumlah file bertambah banyak, dan karenanya sulit bagi user untuk mengorganisir data ke dalam
grup-grup.
3.4.2 File system dalam platform Sistem Operasi Unix-like
Sistem Operasi Unix-like membuat file system virtual, yang membuat semua file pada
semua media tampak berada pada susatu hirarki tunggal. Hal ini berarti, dalam sistem
tersebut,ada satu direktori /root, dan setiap file yang ada pada sistem diletakkan di bawah
direktori tersebut.. Lebih jauh lagi, direktori /root tidak harus berada dalam suatu media fisik. D-
irektori tersebut bisa jadi tidak ada di Hard Drive bahkan mungkin tidak berada di komputer
Anda. OS Unix-Like dapat menggunakan sumber daya dari jaringan sebagai direktori /root-nya.
International Organization for Standardization (ISO) 9660 dan Joliet ISO 9660 filesistem
biasanya digunakan pada CD-ROM. Filesistem CD-ROM yang popular lainnya adalah
Joliet, suatu varian ISO9660. ISO 9660 mendukung panjang nama file sampai 32
karakter, sedangkan Joliet mendukung sampai 64 karakter. Joliet juga mendukung
karakter Unicode di dalam pemberian nama file.
Universal Disk Format ( UDF). UDF adalah filesistem yang digunakan untuk DVD dan
juga digunakan untuk beberapa CD.
Sistem Unix-like memberikan nama kepada tiap media, tapi hal ini bukanlah cara
bagaimana file dalam media tersebut diakses. Untuk mendapatkan akses ke file di media lain,
Anda pertama kali harus memberitahu OS di direktori mana file tersebut akan tampil. Proses ini
disebut dengan mounting sebuah file system. Sebagai contoh, untuk mengakses file pada CD-
ROM, user harus memberitahu OS “ambil file system dari CD-ROM ini dan tampilkan pada
direktori ini dan ini”. Direktori yang diberikan ke OS disebut sebagai mountpoint, yang bisa
berupa, misalnya /media. Direktori /media ada pada kebanyakan Sistem Unix dan ditujukan
khusus untuk dipakai sebagai mount point untuk media removable seperti CD, DVD, dan floppy
disk. Umumnya, hanya administrator aau pengguna root dapat melakukan aksi mounting file
system ini. OS Unix-like seringkali sudah memiliki software dan tools yang menangani proses
mounting dan menyediakan fungsi baru. Strategi ini disebut dengan “auto-mounting”, seperti
yang tercermin dalam tujuannya.
Dalam banyak situasi, file system selain root diharuskan tersedia segera setelah OS telah
boot. Karena itu, semua Sistem Unix-like menyediakan fasilitas untuk me-mount file
system pada saat booting. Administrator menyebut file system ini
Dalam beberapa situasi, tidak perlu me-mount beberapa file system pada saat boot,
meskipun mungkin dibutuhkan setelahnya
Media removable telah menjadi hal yang umum dengan platform mikrokomputer.
Removable media ini mengijinkan program dan data untuk ditransfer antar mesin tanpa
koneksi fisik. Misalnya USB flash drive, CD-RM, dan DVD. Hal ini menyebabkan
dikembangkannya perangkat untuk mendeteksi keberadaan suatu medium dan
ketersediaan mount-point serta me-mount media tersebut tanpa intervensi dari user.
Sistem Unix-like yang lebih maju juga telah mengenalkan konsep yang disebut
supermounting. Contohnya, sebuah floppy disk yang telah di-supermount dapat dicopot
secara fisik dari sistem. Dalam keadaan normal, disk harus sudah disinkronkan dan
kemudian di-unmount sebelum dicopot. Sinkronisasi yang diperlukan sudah terjadi, disk
yang berbeda dapat disisipkan ke dalam drive. Sistem secara otomatis mengetahui bahwa
disk telah dirubah dan mengupdate isi mount point untuk mengindikasikan medium baru.
Fungsi serupa ditemukan pada mesin Windows standar
Inovasi serupa yang dipilih oleh beberapa pengguna adalah menggunakan autofs, sistem
yang tidak membutuhkan perintah mount manual. Perbedaannya dengan supermount
adalah media di-mount secara transparan ketika permintaan ke file system dibuat. Cara
ini sesuai untuk file system pada server jaringan.
3.4.2.1 File system dalam platform Linux
Linux mendukung banyak file system yang berbeda, tapi pilihan yang umum untuk
sistem di antaranya adalah keluarga ext* (seperti ext2 dan ext3), XFS, JFS dan ReiserFS 4.2.2
Hierarchical File System (HFS). HFS didukung secara langsung oleh Mac OS. HFS
sebagian besar digunakan di dalam versi lama Mac OS tetapi masih didukung dalam versi
lebih baru. Ukuran volume maksimum HFS di Mac OS 6 dan 7 adalah 2 GB. Ukuran
volume maksimum HFS dalam Mac OS 7.5 adalah 4 GB. Mac O 7.5.2 dan sistem
operasi Mac yang terbaru meningkatkan ukuran volume maksimum HFSmenjadi2TB
HFS Plus. HFS Plus didukung secara langsung oleh Mac OS 8.1 dan versi selanjutnya
dan ia merupakan sebuah filesistem berjurnal di Mac OS X. HFS Plus adalah penerus
HFS dan memberikan banyak peningkatan seperti mendukung nama file yang panjang
dan nama file Unicode untuk penamaan file internasional. Ukuran volume maksimum
HFS Plus adalah 2 TB.
File system dalam platform Mac OS X MacOS X menggunakan file system HFS Plus
yang merupakan turunan dari Mac OS klasik yaitu. HFS plus adalah file system yang kaya
metadata dan case preserve. Karena Mac OS X memiliki root milik Unix, aturan Unix juga
ditambahkan dalam HFS Plus. Versi terbaru dari HFS plus menambahkan journaling untuk
mencegah kerusakan pada struktur file system dan mengenalkan sejumlah optimasi dalam hal
algoritma alokasi dalam usaha untuk memecah file secara otomatis tanpa membutuhkan
defragmenter luar.
Nama file dapat mencapai 255 karakter. HFS Plus menggunakan pengkodean Unicode
untuk menyimpan nama file. Dalam Mac OS X, tipe file dapat diambil dari type code yang
disimpan dalam metadata atau nama file. HFS Plus memiliki tiga macam link: Hard Link seperti
pada Unix, Link simbolis Unix, dan alias. Alias didesain untuk menangani link ke file asli meski
file tersebut telah dipindah ataupun diubah namanya. Alias ini tidak diinterpretasikan dalam file
system, tapi pada kode File Manager pada userland.
Mac OS X juga mendukung penggunaan File System UFS yang merupakan turunan dari
File System Unix BSD.Unix File System (UFS). UFS didukung secara asli oleh beberapa jenis
sistem operasi Unix, termasuk Solaris, FreeBSD, OpenBSD, dan Mac OS X Namun demikian,
kebanyakan sistem operasi sudah menambahkan fitur khusus, sehingga detil UFS berbeda antar
implementasi. Compact Disk File System (CDFS). Seperti indikasi namanya, CDFS filesistem
digunakan untuk CD.
3.4.3 File system dalam platform Microsoft Windows
Microsoft Windows menggunakan file system FAT dan NTFS .File System FAT (File
Allocation Table) yang didukung oleh semua versi Microsoft Windows merupakan evolusi file
system yang digunakan dalam MS DOS. Selama bertahun-tahun, banyak fitur telah ditambahkan
dalam pengembangannya, yang terinspirasi dari fitur serupa yang ada pada file system yang
dipakai pada Unix. Versi lama dari file system FAT (FAT12 dan FAT16) memiliki keterbatasan
dalam memberikan nama file, batasan dalam hal jumlah entri dalam direktori root dalam file
system dan batasan jumlah maksimum partisi. Secara spesifik, FAT12 dan FAT16 membatasi
nama file hanya sampai 8 karakter dan 3 karakter untuk perluasan. VFAT yang merupakan
perluasan dari FAT12 dan FAT16 mulai diperkenalkan pada Windows NT dan berikutnya
dimasukkan dalam Windows 95, yang mengijinkan nama file yang panjang. NTFS yang
diperkenalkan bersama dengan Wndows NT mengijinkan kontrol berbasis Access Control List.
NTFS juga mendukung Hard link, aliran file jamak, indexing atribut, pengecekan kuota,
kompresi dan menyediakan mount point untuk file system lainnya.
Tidak seperti Sistem Operasi lainnya, Windows menerapkan abstraksi berupa drive letter
pada level user untuk membedakan sebuah disk atau partisi dari yang lain. Sebagai contoh, path
C:\Windows menunjukkan direktori Windows pada partisi yang ditunjukkan oleh label huruf C.
Drive dalam jaringan juga dapat di-map menjadi drive letter.
3.4.3.1 Proses pengambilan data
Sistem Operasi memanggil IFS (Installable File System) manager. IFS kemudian
Memanggil FSD (File System Driver) yang sebenarnya untuk membuka file yang diminta dari
beberapa pilihan FSD yang bekerja untuk File System yang berbeda –NTFS, VFAT, CDFS
(untuk drive optikal) dan network drive. FSD kemudian mendapatkan info lokasi kluster pertama
dari file pada disk dari FAT, VFAT atau MFT (Master File Table). MFT inilah yang yang
memetakan semua file pada disk dan merekan jejak di mana file disimpan.
3.4.3.2 File Identification
File format identifikasi adalah proses untuk mencari tahu format dari urutan byte. System
operasi biasanya mencari tahu format dari urutan byte melalui ekstensi file ataupun melalui
informasi yang terdapat pada MIME. Aplikasi forensik perlu mengidentifikasi jenis file dari
konten.
3.4.3.3 Time
Data recovery merupakan bagian dari analisa forensik di mana hal ini merupakan
komponen penting di dalam mengetahui apa yang telah terjadi, rekaman data, korespondensi,
dan petunjuk lannya. Banyak orang tidak menggunakan informasi yang berasal dari data
recovery karena dianggap tidak murni/asli/orisinil.
Setiap sistem operasi bekerja dalam arah yang unik, berbeda satu sama lain (walaupun
berplatform sistem operasi yang sama). Untuk melihat seberapa jauh data sudah dihapus atau
belum, perlu memperhatikan segala sesuatu yang ada dalam raw disk. Jika data yang digunakan
untuk kejahatan ternyata masih ada, maka cara yang termudah adalah menguji data dengan
pemanfaatan tool yang ada pada standar UNIX, seperti strings, grep, text pagers, dan sebagainya.
Sayangnya, tools yang ada tidak menunjukkan data tersebut dialokasikan di mana. Contohnya,
intruder menghapus seluruh system log files (dimulai dari bulan, hari, dan waktu) dari minggu
pertama Januari, seharusnya ditulis untuk melihat syslog tersebut: Melalui investigasi dari sistem
yang dirusak oleh intruder, sistem files UNIX yang modern tidak menyebar contents dari suatu
file secara acak dalam disk. Sebagai gantinya, sistem files dapat mencegah fragmentasi file,
meskipun setelah digunakan beberapa tahun.
File content dengan sedikit fragmentasi akan lebih mudah untuk proses recover dari pada
file content yang menyebar dalam disk (media penyimpanan). Tetapi sistem file yang baik
memiliki beberapa keuntungan lain, salah satunya mampu untuk menghapus informasi untuk
bertahan lebih lama dari yang diharapkan.
Dalam kasus Linux, sistem file extension tidak akan menghapus lokasi dari urutan
pertama 12 blok data yang tersimpan dalam inode jika file sudah dipindah/dihapus. Hal ini
berarti menghapus data dapat dikembalikan langsung dengan menggunakan icat dalam inode
yang terwakilkan. Seperti metode data recovery lainnya, tidak akan menjamin jika data tetap ada
di tempat semula. Jika file dihapus dalam sistem operasi Linux, inode’s time akan terupdate.
Dengan menggunakan informasi tersebut, data dapat dikembalikan dari 20 inode pada sistem file
yang dihapus. Untuk itu seringkali penting untuk mengetahui kapan suatu file digunakan atau
dimanipulasi, dan kebanyakan sistem operasi mencatat timestamps tertentu yang terkait dengan
file. Timestamps yang biasanya digunakan adalah waktu modifikasi, akses, dan penciptaan
modification, access, and creation’, MAC), sebagai berikut:
Waktu Modifikasi Ini adalah waktu terakhir file diubah dengan berbagai cara, meliputi
ketika suatu file ditulis dan ketika file tersebut diubah oleh program lain
Waktu Akses. Ini adalah waktu terakhir dilakukannya akses apapun pada file (misalnya,
dilihat, dibuka, dicetak)
Waktu penciptaan. Ini biasanya merupakan waktu dan tanggal file diciptakan.
Bagaimanapun, ketika file disalinkan ke sistem, waktu penciptaan akan menjadi waktu
file dicopy ke sistem yang baru.Waktu modifikasi akan tetap utuh.
Filesistem yang berbeda mungkin saja menyimpan jenis waktu yang berbeda. Sebagai
contoh, Sistem Windows menyimpan waktu modifikasi terakhir, waktu akses terakhir, dan waktu
penciptaan file. Sistem UNIX menyimpan waktu modifikasi terakhir, perubahan inode terakhir,
dan waktu akses terakhir, namun beberapa sistem UNIX (termasuk versi BSD dan SunOS) tidak
memperbaharui waktu akses terakhir file eksekutabel ketika mereka dijalankan. Beberapa sistem
UNIX merekam waktu terkini ketika metadata file diubah. Metadata adalah data tentang data;
untuk filesistem, metadata adalah data yang menyediakan informasi mengenai isi file.
Jika suatu analis ingin menetapkan garis waktu yang akurat atas suatu peristiwa, maka
waktu file harus dipelihara. Analis harus sadar bahwa tidak semua metode untuk memperoleh
file dapat memelihara waktu file. Image bit stream dapat mempertahankanwaktu file karena
dilakukan penyalinan bit-for-bit; melakukan logical backup menggunakan beberapa tool dapat
menyebabkan waktu penciptaan file terubah ketika file data disalinkan. Oleh karena itu, bila
waktu file penting, harus digunakan imaging bit stream untuk mengumpulkan data.
Analis juga harus menyadari bahwa waktu file tidak selalu akurat. Beberapa alasan
ketidakakuratan itu adalah sebagai berikut:
Jam komputer tidak mempunyai waktu yang benar itu. Sebagai contoh, jam mungkin
tidak selalu disinkronisasi secara teratur dengan sumber waktu resmi
Waktu tidak mungkin direkam dengan tingkat detil yang diharapkan, seperti
menghilangkan detikatau beberapa menit
Penyerang mungkin telah mengubah waktu file yang direkam.
4 Winhex : Forensic Software
WinHex pada intinya adalah editor hexadecimal universal, yang paling utama adalah
sangat membantu dalam bidang computer forensics, data recovery, proses data dalam tingkat
yang rendah, dan keamanan IT. Sebuah peralatan yang semakin maju setiap harinya dan
penggunaan dalam keadaan darurat : memeriksa dan mengedit semua jenis file mengembalikan
data yang telah dihapus atau data yang telah hilang dari hard drives system file yang corrupt,
atau dari kartu memory digital camera.
Berikut adalah beberapa fitur WinHex, antara lain :
Disk editor untuk hard disk, floppy disk, CD-ROM & DVD, ZIP, SmartMedia, Compact
Flash
Dukungan untuk FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF
Memiliki interpretasi untuk sistem RAID dan dynamic disks
Berbagai macam teknik pemulihan data
RAM editor, menyediakan akses kepada physical RAM, dan proses–proses yang dimiliki
virtual memory
Penerjemah data, mengetauhi 20 jenis type data
Mengedit struktur data menggunakan templates (contoh : untuk memperbaiki tabel partisi
/ boot sector)
Menyatukan dan memisahkan file, menyatukan dan membagi kejanggalan dalam
bytes/words
Menganalisa dan membandingkan file – file
Pencarian yang paling flexibel dan mengganti fungsi – fungsi
Disk cloning (undr DOS dengan X-Ways Replica)
Mengatur gambar dan mengamankannya (menurut pilihan dikecilkan ukuran filenya atau
dipisahkan menjadi dokumen – dokumen sebesar 650 MB)
Memprogram interface (API) dan menulis program
Enkripsi AES 256-bit, pengecekan total, CRC32, hashes (MD5, SHA-1)
Menghapus file rahasia dengan aman, membesihkan hard drive demi menjaga privacy
Mengimpor semua format clipboard, termasuk ASCII hex
Mengkonversi diantara biner, hex ASCII, Intel hex, dan Motorola S
Setelan karakter : ANSI ASCII, IBM ASCII, EBCDIC, (Unicode)
Pergantian jendela yang cepat. Mencetak. Pembangkit nomor acak
Mendukung file dengan ukuran yang lebih dari 4 GB. Sangat cepat. Mudah digunakan.
Pertolongan yang selalu ada setiap saat
X-Ways forensik, edisi forensik dari WinHex, adalah lingkungan computer forensik yang
kuat dan mampu dengan sejumlah fitur forensik, menerjemahkannya menjadi perangkat analisis
yang kuat : menangkap ruang yang bebas, ruang yang lemah, ruang dalam partisi, dan teks,
membuat table yang berisi petunjuk dengan detail yang lengkap dengan segala file yang
termasuk dan file yang telah dihapus dan direktori dan bahkan alur data alternative (NTFS), file
dengan penomoran yang tertahan, dan banyak lagi. Juga menyediakan sebagai penggambar disk
dalam tingkatan rendah dan peralatan cloning yang menciptakan cermin sesungguhnya (termasuk
ruang yang lemah) dan membaca sebagian besar format drive dan type media, pendukung –
pendukung drive dan file dari ukuran yang pada dasarnya tidak terbatas (bahkan terabytes dari
NTFS volumes).
X-Ways forensics dan WinHex pada dasarnya mengartikan dan menunjukan struktur
direktori pada FAT, NTFS, Ext2/3, Reiser, CDFS, dan media UDF dan file gambar. Itu
menunjukan pemulihan aman pada hard disk, memory card, flash disks, floppy disks, ZIP, JAZ,
CDs, DVDs, dan banyak lagi. X-Ways forensics dan WinHex menyatukan beberapa mekanisme
penyembuhan file yang otomatis dan mengizinkan pemuliha data secara manual. WinHex
memberikan kepuasan, pencarian fungsi yang sangat cepat secara simultan yang mungkin anda
butuhkan untuk mencari di seluruh media (atau data gambar), termasuk kelemahan, untuk data
yang telah dihapus, data yang disembunyikan dan banyak lagi. Melalui akses fisik, hal ini dapat
dilakukan meskipun isinya tidak terdeteksi oleh operating system, contohnya yang disebabkan
oleh sistem file yang corrupt dan tidak diketahui. Winhex juga dapat digunakan untuk:
4.1 Drive cloning, drive imaging
Membuat suatu duplikasi yang bisa menghemat waktu dalam menginstall suatu dan
software lainnya untuk beberapa komputer yang sejenis atau agar memungkinkan kita untuk
memperbaiki suatu installasi yang sedang dilakukan apabila ada data yang rusak.
4.2 RAM editor
Untuk menjalankan/memanipulasi program yang sedang berjalan dan dalam permainan
komputer khusus.
4.3 Analyzing files
Untuk menentukan jenis recoveri data sebagai bagian rantai yang hilang oleh ScanDisk
atau ChkDisk
4.4 Wiping confidential files or disks
Dengan menghapus file rahasia dengan winhex maka tidak satupun dari komputer yang
ada bahkan spesialis komputer forensik sekalipun tidak akan bisa mendapatkan file itu lagi.
4.5 Wiping unused space and slack space
Dengan menghapus ruang kosong yang tidak terpakai maka akan meminimalkan ukuran
backup datanya. Pada drive berjenis NTFS, winhex dapat membersihkan semua file $Mft
(Master File Table) yang tidak terpakai.
4.6 ASCII - EBCDIC conversion
Memungkinkan kita untuk bisa merubah kode ASCII ke EBCDIC
4.7 Binary, Hex ASCII, Intel Hex, and Motorola S conversion
Digunakan oleh programmer yang menggunakan (E)PROM
4.8 Unifying and dividing odd and even bytes/words
Digunakan oleh programmer yang menggunakan (E)PROM
4.9 Conveniently editing data structure
Kita bisa merubah struktur data yang ada dengan baik sesuai dengan apa yang kita
inginkan.
4.10 Splitting files that do not fit on a disk
Kita bisa menggabungkan atau membagi file yang tidak muat di disk kita
4.11 WinHex as a reconnaissance and learning tool
Kita bisa menemukan program-program lain yang disimpan pada suatu file. Kita juga
bisa mempelajari file-file yang formatnya tidak kita ketahui dan bagaimana file tersebut bekerja.
4.12 Finding interesting values (e.g. the number of lives, ammunition, etc.) in saved game
files
Menggunakan penggabungan antara pencarian atau menggunakan perbandingan file
4.13 Manipulating saved game files
Untuk permainan di komputer, kita bisa mengikuti cheat-nya yang ada di internet atau
kita bisa membuat cheat sendiri.
4.14 Upgrading MP3 jukeboxes and Microsoft Xbox with larger hard drive
Untuk meng-upgrade, hard disk baru memerlukan persiapan dan disinilah winhex
dipergunakan
4.15 Manipulating text
Untuk mengubah text di sebuah file berupa binary yang di aplikasi tersebut tidak
diizinkan untuk bisa merubahnya.
4.16 Viewing and manipulating files that usually cannot be edited
Untuk mengubah file yang tidak bisa diubah karena dilindungi oleh windows
4.17 Viewing, editing, and repairing sistem areas
Seperti master boot record dengan table pembagiannya dan boot sector.
4.18 Hiding data or discovering hidden data
Winhex secara khusus memungkinkan kita menggunakan bagian yang kelebihan dan
tidak digunakan oleh sistem operasi
4.19 Copy & Paste
Kita dimungkinkan untuk secara bebas untuk mengkopi dari disk dan menuliskannya ke
dalam clipboard di disk tanpa perlu melihat batasan bagian/sektor nya
4.20 Unlimited Undo
Kita bisa mengulang apa yang telah kita ubah atau kerjakan dengan bebas tanpa batasan.
4.21 Jump back and forward
Winhex menyimpan sejarah/history apa yang telah kita kerjakan sehingga kita bisa
kembali ke sebelum atau ke tahap apa yang kita telah kerjakan dengan mudah seperti pada web
browser.
4.22 Scripting
Pengubahan file otomatis menggunakan script. Script bisa dijalankan dari start center
atau awal perintahnya. Ketika script dijalankan kita bisa membatalkannya dengan menekan esc.
4.23 API (Application Programming Interface)
Pengguna yang professional (programer) akan memanfaatkan kemampuan winhex dalam
program buatan mereka.
4.24 Data recovery
Bisa digunakan pada semua file sistem dan bisa memperbaiki beberapa jenis file pada
satu waktu seperti file jpg, png, gif, tif, bmp, dwg, psd, rtf, xml, html, eml, dbx, xls/doc, mdb,
wpd, eps/ps, pdf, qdf, pwl, zip, rar, wav, avi, ram, rm, mpg, mpg, mov, asf, mid.
4.25 Komputer examination / forensiks
Winhex adalah sebuah alat atau software yang sangat berharga bagi seorang spesialis
investigasi komputer di sebuah perusahaan pribadi dan untuk penegakkan hukum.
4.26 Trusted download
Dengan winhex apa yang kita download akan lebih aman dan dapat dipercaya
kebersihannya dari hal-hal yang dapat mengganggu komputer kita
4.27 128-bit encryption
Dengan winhex kita bisa membuat file kita tidak bisa dibaca oleh orang lain.
4.28 Checksum/digest calculation
Untuk memastikan file yang ada tidak ada yang rusak dan tidak terubah, atau untuk mengenali
file-file yang dikenal.
4.29 Generating pseudo-random data
Digunakan untuk beberapa tujuan seperti simulasi ilmiah.
DAFTAR PUSTAKA
http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editor
http://www.forensicswiki.org/wiki/File_Format_Identification
http://en.wikipedia.org/wiki/File_carving
http://en.wikipedia.org/wiki/Disk_Copy
http://id.wikipedia.org/wiki/Metadata
http://id.shvoong.com/internet-and-technologies/1679555-file/#ixzz1b6bAuIqd
http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf
http://romanistielf.wordpress.com/2011/10/26/disk-forensik/
http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editor
http://www.forensicswiki.org/wiki/File_Format_Identification
http://en.wikipedia.org/wiki/File_carving
http://en.wikipedia.org/wiki/Disk_Copy
http://id.wikipedia.org/wiki/Metadata
http://id.shvoong.com/internet-and-technologies/1679555-file/#ixzz1b6bAuIqd
http://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf
