4.3.3 Menganalisa Data

Suatu analyst’s toolkit perlu berisi berbagai tool yang menyediakan kemampuan untuk melaksanakan tinjauan ulang data secara cepat seperti halnya analisa yang dilakukan secara mendalam (detil). Banyak produk mengijinkan analis untuk melaksanakan suatu cakupan luas proses untuk meneliti aplikasi dan file, seperti halnya memperoleh file, membaca gambaran disk, dan mengekstrakdata dari file. Kebanyakan produk analisa juga menawarkan Suatu analyst’s toolkit perlu berisi berbagai tool yang menyediakan kemampuan untuk melaksanakan tinjauan ulang data secara cepat seperti halnya analisa yang dilakukan secara mendalam (detil). Banyak produk mengijinkan analis untuk melaksanakan suatu cakupan luas proses untuk meneliti aplikasi dan file, seperti halnya memperoleh file, membaca gambaran disk, dan mengekstrakdata dari file. Kebanyakan produk analisa juga menawarkan

Walaupun produk seperti itu tidak dinilai di dalam melakukan analisa, pemahaman proses apa yang harus dijalankan untuk menjawab pertanyaan tertentu tentang data adalah suatu langkah pertama yang penting. Suatu analis mungkin perlu menyediakan suatu tanggapan yang cepat atau hanya menjawab suatu pertanyaan sederhana tentang data yang diperoleh tersebut. Di dalam kasus ini, suatu analisa lengkap mungkin diperlukan atau tidak. Sebagai hasilnya, suatu analisa toolkit perlu berisi aplikasi yang dapat memenuhi analisa data dalam berbagai cara dan dapat dijalankan dengan cepat dan efisien dari diskette, CDs, atau analyst workstation. Daftar berikut menyebutkan beberapa jenis proses dimana seorang analis harus bisa melaksanakannya dengan berbagai tool:

1. Penggunaan File Viewers. Penggunaan viewers sebagai ganti aplikasi sumber yang asli untuk menamppilkan isi dari file jenis tertentu adalah suatu teknik penting untuk membaca sekilas atau mengadakan pra pertunjukan data sebelum dikumpulkan, dan lebih efisien ( misalnya, tidak memerlukan aplikasi asli untuk mengamati masing-masing jenis file). Berbagai tool tersedia untuk melihat jenis umum suatu file, dan di sana ada juga tools khusus yang semata-mata untuk mengamati grafik. Jika file viewers yang tersedia tidak mendukung format file tertentu , kemudian aplikasi sumber yang asli harus digunakan; jika hal itu tidak tersedia, maka hal tersebut mungkin diperlukan untuk mencari format file dan secara manual mengekstrak data dari file.

2. File yang tidak dikompres. File yang dikompres dapat berisi file dengan informasi bermanfaat, seperti file lainnya yang dikompres. Oleh karena itu, hal tersebut sangatlah penting untuk menempatkan analis dan mengekstrak file yang dikompres. File yang tidak dikompres harus dilakukan di awal proses untuk memastikan isi dari file yang dikompres adalah termasuk dalam pencarian dan tindakan lain. Analis perlu mengingat-ingat file yang dikompres yang mungkin berisi malicious content, seperti compression bombs, yang mana file telah berulang-kali dikompres, typically dozens atau hundreds of times. Compression bombs dapat menyebabkan tools untuk pengujian gagal atau mengkonsumsi sumber daya yang pantas dipertimbangkan; mereka dapat juga berisi malware dan malicious payloads 2. File yang tidak dikompres. File yang dikompres dapat berisi file dengan informasi bermanfaat, seperti file lainnya yang dikompres. Oleh karena itu, hal tersebut sangatlah penting untuk menempatkan analis dan mengekstrak file yang dikompres. File yang tidak dikompres harus dilakukan di awal proses untuk memastikan isi dari file yang dikompres adalah termasuk dalam pencarian dan tindakan lain. Analis perlu mengingat-ingat file yang dikompres yang mungkin berisi malicious content, seperti compression bombs, yang mana file telah berulang-kali dikompres, typically dozens atau hundreds of times. Compression bombs dapat menyebabkan tools untuk pengujian gagal atau mengkonsumsi sumber daya yang pantas dipertimbangkan; mereka dapat juga berisi malware dan malicious payloads

3. Mempertunjukkan Struktur Direktori secara Grafik. Hal ini lebih cepat dan lebih mudah untuk analis mengumpulkan keterangan umum tentang isi suatu media, seperti jenis perangkat lunak yang diinstal dan seperti keserasian teknis dari user adalah membuat data. Kebanyakan produk dapat menampilkan Windows, Linux, dan struktur direktori Unix, selagi produk lain dikhususkan untuk direktori struktur Macintosh.

4. Mengidentifikasi File yang dikenal. Manfaat dari menemukan file yang menarik jelas nyata, tetapi hal itu sering bermanfaat untuk menghapus file tak penting dari pertimbangan, seperti yang dikenal baik yaitu OS dan file aplikasi. Analis dapat menggunakan hash untuk menetapkan yang diciptakan oleh rancangan NIST adalah National Software Reference Library (NSRL) atau secara pribadi menciptakan hash sets sebagai basis untuk mengidentifikasi known benign dan malicious files. Hash sets menetapkan secara khusus untuk menggunakan algoritma SHA-1 dan MD5 untuk menetapkan nilai intisari pesan untuk masing- masing file yang dikenal.

5. Melakukan Pencarian Titik Temu dan Mencocokkan Pola. Pencarian Titik temu menopang ketika membaca dengan teliti sejumlah data yang besar untuk temukan kata kunci atau titik temu. Berbagai tool pencarian yang tersedia itu dapat menggunakan Boolean, fuzzy logic, konsep dan sinonim, stemming, dan metode pencarian lain. Contoh pencarian umum meliputi pencarian berbagai kata-kata di dalam file tunggal dan pencarian kata-kata tertentu yang salah versi mengejanya. Menetapkan pembangunan secara singkat dari satuan terminologi pencarian untuk situasi umum yang dapat menopang analis di dalam mengurangi volume informasi untuk meninjau ulang. Sebagai tambahan terhadap kepemilikan format file yang tidak bisa dicari titik temunya tanpa tool tambahan, dikompres, dienkripsi dan file password-protected yang memerlukan pra-proses tambahan sebelum pencarian 5. Melakukan Pencarian Titik Temu dan Mencocokkan Pola. Pencarian Titik temu menopang ketika membaca dengan teliti sejumlah data yang besar untuk temukan kata kunci atau titik temu. Berbagai tool pencarian yang tersedia itu dapat menggunakan Boolean, fuzzy logic, konsep dan sinonim, stemming, dan metode pencarian lain. Contoh pencarian umum meliputi pencarian berbagai kata-kata di dalam file tunggal dan pencarian kata-kata tertentu yang salah versi mengejanya. Menetapkan pembangunan secara singkat dari satuan terminologi pencarian untuk situasi umum yang dapat menopang analis di dalam mengurangi volume informasi untuk meninjau ulang. Sebagai tambahan terhadap kepemilikan format file yang tidak bisa dicari titik temunya tanpa tool tambahan, dikompres, dienkripsi dan file password-protected yang memerlukan pra-proses tambahan sebelum pencarian

6. Mengakses File Metadata. File Metadata menyediakan detil tentang file apapun diberi. Sebagai contoh, memperoleh metadata pada suatu file grafis yang mungkin menyediakan grafik tanggal yang dibuat, informasi hak cipta, uraian, dan identitas pembuat. Metadata untuk grafik yang dihasilkan oleh suatu kamera digital mungkin meliputi buatan dan model dari kamera digital yang digunakan untuk mengambil gambaran, seperti halnya F-Stop, kilat, dan menentukan lubang bidik kamera. Untuk file pengolah kata, metadata bisa menetapkan pengarang, organisasi yang diizinkan perangkat lunaknya, kapan dan siapa yang terakhir mengedit, dan komentar user-defined. Kegunaan khusus dapat mengekstrak metadata dari file.

Aspek penting lainnya dari meneliti data adalah menguji waktu sistem dan waktu dari file. Mengetahui kapan suatu peristiwa terjadi, suatu file diciptakan atau dimodifikasi, atau suatu e-mail dikirim dapat menjadi kritis untuk analisa data. Sebagai contoh, informasi seperti itu dapat digunakan untuk merekonstruksi suatu batas waktu dari suatu aktifitas. Selagi itu dapat terlihat seperti suatu tugas sederhana, hal itu sering diperumit oleh pertentangan disengaja atau tak disengaja pada pengaturan waktu antar sistemnya. Mengetahui waktu, tanggal, dan wilayah waktu yang menentukan untuk komputer siapa yang datanya akan dianalisa dapat sangat membantu suatu analis; Bagian 5 menguraikan ini secara lebih detil.

Hal itu pada umumnya berpengaruh baik bagi analis jika suatu organisasi memelihara sistemnya dengan timestamping akurat. Protokol Waktu Jaringan ( NTP) mensinkronkan Hal itu pada umumnya berpengaruh baik bagi analis jika suatu organisasi memelihara sistemnya dengan timestamping akurat. Protokol Waktu Jaringan ( NTP) mensinkronkan

Jika berbagai tool digunakan untuk analisa yang lengkap, analis perlu memahami bagaimana masing-masing alat untuk mengekstrak, memodifikasi, dan memperlihatkan modifikasi dari file, akses, dan waktu ( MAC) ciptaan. Sebagai contoh, beberapa tool memodifikasi waktu akses terakhir dari suatu direktori atau file jika filesystem telah diakhiri dengan menulis ijin oleh sistem operasi itu. Write-Blockers mungkin digunakan untuk mencegah tool ini untuk memodifikasi waktu MAC. Bagaimanapun, walaupun write-blockers dapat mencegah waktu MAC dari yang sedang dimodifikasinya pada media, mereka tidak bisa mencegah sistem operasi dari menyembunyikan perubahan di dalam memori ( yaitu., menyimpan perubahan di dalam RAM). Sebagai konsekuensinya, sistem operasi boleh melaporkan waktu MAC yang disembunyikan daripada waktu MAC yang nyata, dengan demikian mengembalikan hasil yang tidak akurat. Analis harus sadar bahwa waktu akses direktori dan file data terakhir mungkin berubah diantara query, tergantung pada alat yang digunakan untuk melaksanakan query itu. Oleh karena isu ini, analis perlu berhati-hati untuk memilih MAC yang mengamati metode dan merekam detil dari metode itu .

Dalam banyak kesempatan, analisa tidak hanya melibatkan data dari file, tetapi juga data dari sumber lainnya , seperti sistem operasi status, lintasan jaringan, atau aplikasi. Bagian 8 menyediakan contoh bagaimana data dari file dan data dari sumber lainnya dapat dihubungkan melalui analisa.