Disk forensik
Upcoming SlideShare
Loading in...5
×
 

Disk forensik

on

  • 1,473 views

 

Statistics

Views

Total Views
1,473
Views on SlideShare
1,473
Embed Views
0

Actions

Likes
0
Downloads
42
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Disk forensik Disk forensik Document Transcript

    • DISK FORENSIKKelompok 2  Deby Oktavia (55409571)  Fuad Hatami (50409063)  Kiki Tri Ratnasari (51409311)  Lili Andini (55409680)  Linda Mella Listiara (55409579)4IA03
    • DISK FORENSIK Komputer forensik dapat diartikan sebagai pengumpulan dan analisis data dari berbagaisumber daya komputer yang mencakup sistem komputer, jaringan komputer, jalur komunikasi,dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan.Komputer forensik merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari olehbeberapa bidang keilmuan lainnya yang sudah ada. Bahkan, komputer forensik pun dapatdispesifikasi lagi menjadi beberapa bagian, seperti Disk Forensik, System Forensik, NetworkForensik, dan Internet Forensik. Pengetahuan Disk Forensik sudah terdokumentasi dengan baik dibandingkan denganbidang forensik lainnya. Beberapa kasus yang dapat dilakukan dengan bantuan ilmu DiskForensik antara lain mengembalikan file yang terhapus, mendapatkan password, mengubahpartisi harddisk, mencari jejak badsector, menganalisis File Akses dan System atau AplikasiLogs, dan sebagainya. Tentunya untuk mendapatkan semua informasi tersebut, diperlukan sejumlah software,seperti EnCase, yang dikembangkan oleh Guidance Software Pasadena, Linux DD yang pernahdigunakan oleh FBI (Federal Bureau Investigation) dalam kasus Zacarias Moussaoui, danJaguarForensics Toolkit, yaitu sebuah tool yang diperkaya dengan beberapa feature menarik,seperti generator report untuk memenuhi kebutuhan komputer forensik.Disk forensik mencakup kemampuan dalam: Mendapatkan “bit-stream” image. Hal ini mencakup slack, unallocated space dan file fragments yang dihapus Penyidik harus mampu mendemonstrasikan pelaksanaan investigasi dengan aturan dan bukti yang layak Integritas informasi harus disajikan sedemikian rupa sehingga terbukti keabsahannya, ini identik dengan sidik jari digital.Beberapa hal yang bisa dilakukan dengan adanya disk forensik: Me-recover file-file yang terhapus, mendapatkan password dan kunci cryptographic Menganalisa akses file, perihal memodifikasi dan menciptakan file
    • Menganalisa dan memanfaatkan system logs dan log software aplikasi (misalnya: monitoring akses file di jaringan atau penggunaan software aplikas dan utility). Dengan demikian aktivitas pengguna dapat dilacak Mengenal Metadata pada Dokumen Menangani dokumen forensik akan berurusan dengan dokumen. Yang dimaksud dengan metadata adalah data tentang data. Sebuah dokumen yangdihasilkan dari software metadata dalam pengolah kata, umumnya mempunyai metadataseperti author (pembuat dokumen), organizations, revisions, previous authors (daftar nama yangtelah melakukan akses terhadap dokumen tersebut), template (jenis template yang digunakandokumen), computer name, harddisk (menunjukkan lokasi dari file tersebut), networkserver (sebagai informasi perluasan dari harddisk), time, time stamps (bergantung dari sistemoperasi, dan umumnya mencakup tanggal pembuatan, tanggal akses atau kapan file terakhir kalidibuka tapi tidak dilakukan perubahan, dan tanggal modifikasi, yaitu ketika ada perubahan didalam file), dan printed (kapan dokumen terakhir kali dicetak). Beberapa metadata pada dokumen dapat dilihat secara langsung, namun beberapametadata harus diekstrak untuk dapat melihatnya. Sebagai contoh untuk menampilkan metadatapada dokumen Ms.Word secara langsung dapat dilakukan melalui menu properties. Untukmelakukan ekstrak data dengan lebih detail dibutuhkan alat bantu seperti Metadata Analyer(www.smartpctools.com) atau iScrub (www.esqinc.com). Alat bantu semacam ini dapatmenampilkan informasi metadata yang tidak tampak.1. File Carving Seperti dijelaskan sebelumnya, adalah mungkin merecovery file dari file system yanginformasi partisinya sudah rusak atau volumenya sebagian telah di reformat. Ini dapat dilakukanmelalui tehnik bernama data carving atau file carving, di mana sebuah program mencari sejenisfile tertentu dengan mencari pola jenis file tertentu Satu hal menarik dari teknik ini adalah iaberjalan serba otomatis: kita hanya menunjukan partisi atau tempat partisi berada, kemudianmemilih tempat untuk merstore file, dan memungkinkan program melakukan tugas beratnya. Pencipta TestDisk telah menciptakan tool istimewa file carving bernama PhotoRec, yangmerecovery format file umum dibanyak media. Setting default PhotoRec bekerja baik, namun
    • kamu jika membutuhkan control, ada sejumlah opsi yang dapat diset Paranoid Mode, normaldisabled, merecover segala sesuatu termasuk pecahan file korup – jika mengaktifkannya. Anda akan mendapat lebih banyak data yang dapat di recovery, tetapi proses recoverylebih lama. Kemudian juga bisa memilih, Keep corrupted files akan merecovery file yang tidaksepenuhnya terbaca dengan harapan user dapat menyelamatkan sebagian di lain hari, mungkindengan hex editor atau tool lain. Perlu di ingat pula, file yang di recovery dengan PhotoRec tidakmempunyai nama seperti nama file aslinya, tetapi metadata internal (misalnya MP3 tag atau dataEXIF) masih ada. Perlu dicatat pula jika mencari jenis file spesifik dalam file system relatifkecil, dapat menggunakan opsi internal yang ada di program untuk menyempitkan pencarian dantidak membuang waktu recovery. TestDisk dan PhotoRec keduanya disertakan secara default diPartedmagic, karenanya ini care termudah mendapatkan keduanya dan membuat bekerjalangsung – namun dapat pula mendownload keduanya sebagai program terpisah danmenggunakannya seperti biasa. Keduanya juga di integrasikan ke BartPE; kamu juga bisamemount mereka di removable drive, booting Vista installation DVD (jika memilikinya), masukke System Recovery command Line, dan jalankan program dari sana.2. Aplikasi Lanjutan DataCarving TestDisk dan PhotoRec hanya pucuk dari gunung es, namun program-program canggihbiasanya diperuntukan tugas forensik lengkap dan tidak untuk pemakai biasa. Foremosttampaknya merupakan nenek moyang dari semua program data carving yang aslinyadikembangkan di Kantor Investigasi Khusus Angkatan Udara Amerika Serikat. Sekarangprogram ini dirilis menjadi public domain, sehingga dapat dipakai di manapun dan dipakai ulangoleh program lain. Tapi harap di ingat format binary masih belum ada untuk Foremost; kamuharus mengompilasi program dari source agar bekerja. Beberapa distro Linux (seperti UbuntuFeisty) sudah menyiapkan Foremost versi precompiled di repository software, yang menjadikanprogram ini mudah di unduh dan digunakan. Pilihan lainnya adalah Scapel, hasil penulisan ulangForemost versi 0.69 – ia lebih gegas, pemakaian memory lebih banyak, dan mempunyai fungsibermanfaat lainnya untuk merecovery file lebih canggih. Ia juga belum tersedia dalam bentukbinary dan harus dikompilasi dari sourec.
    • Salah satu koleksi tool powerful yang dapat berjalan di beragam platform (UNIX, BSD,dan Windows menggunakan Library CYGWIN) adalah Sleuth Kit. Seperti halnya Foremost danScalpel, ia dapat mencari file terhapus berdasar hash atau signature, namun ia juga dibekalibanyak fungsi lain. TSK dibekali sejumlah command line tool, yang dapat digunakan bila kamumerasa nyaman atau mendownload graphical interface bernama Autopsy. Utiliti lainnya adalahutility yang ada di PartitionSupport.com Penggunaan komputer yang tersebar luas dan alat digital lain telah mengakibatkanpeningkatan banyaknya jenis media berbeda yang digunakan untuk menyimpan file. Sebagaitambahan terhadap jenis media yang biasa digunakan seperti disket dan hard drives, file jugadisimpan pada alat seperti PDA dan telepon selular, serta jenis media yang lebih baru, sepertiflash card yang dipopulerkan dengan adanya kamera digital label berikut mendaftarkan jenismedia yang digunakan pada komputer dan alat digital. Daftar ini tidak meliputi setiap jenismedia yang tersedia; melainkan untuk menunjukkan variasi jenis media yang perlu diketahuiseorang analis.
    • 3. File System File System adalah metode untuk menyimpan dan mengatur file-file dan data yangtersimpan di dalamnya untuk membuatnya mudah ditemukan dan diakses. File System dapatmenggunakan media penyimpan data seperti HardDisk atau CD Rom. File System juga dapatmelibatkan perawatan lokasi fisik file, juga memberikan akses ke data pada file server denganberlaku sebagai klien untuk protokol jaringan (mis. NFS atau SMB klien), atau dapat jugaberlaku sebagai file system virtual dan hanya ada sebagai metode akses untuk data virtual. Lebihumum lagi, file system merupakan database khusus untuk penyimpanan, pengelolaan, manipulasidan pengambilan data.
    • 3.1 Aspek-aspek File System Kebanyakan file System menggunakan media penyimpan mendasar yang menawarkanakses ke suatu array dengan blok ukuran tertentu yang dinamakan sector, umumnya denganukuran pangkat 2 (512 bytes atau 1,2, atau 4 KiB). Software File System bertugas menata sektor-sektor tersebut menjadi file dan direktori, serta mengatur sektor mana milik file mana dan sektormana yang belum terpakai. Kebanyakan file system mengalamatkan data dalam unit denganukuran tertentu yang disebut cluster atau blok yang mengandung sejumlah disk sector (biasanyaantara 1-64). Cluster atau blok ini adalah space disk terkecil yang dapat dialokasikan untukmenyimpan file. Bagaimanapun, file system bisa jadi tidak perlu menggunakan media penyimpan samasekali. File System dapat dipakai untuk menata dan mewakili akses ke setiap data, apakah dataitu disimpan atau dibuat secara dinamis.3.1.1 Nama File Tidak peduli apakah file System memiliki media penyimpan atau tidak, file systemumumnya memiliki direktori yang menyesuaikan antara nama file dan file, biasanya denganmenghubungkan nama file dan suatu index dalam file.3.1.2 Metadata Informasi lain yang disimpan biasanya berhubungan dengan tiap file yang ada dalam filesystem. Panjang data yang dikandung dalam sebuah file dapat disimpan sebagai nomor blokyang disediakan untuk file atau sebagai hitungan byte. Waktu di mana file terakhir kalidimodifikasi dapat disimpan sebagai timestamp dari file. Beberapa file system juga menyimpanwaktu pembuatan file, waktu terakhir kali diakses, dan waktu di mana meta data dari file diubah.Informasi lain termasuk juga tipe media file (blok, karakter, soket, subdirektori), User-IDpemilik dan Group-ID, serta setting access permission-nya (read only, executeble, dll). Atribut sebarang dapat dilekatkan pada file system tingkat lanjut, seperti XFS, ext2/ext3,beberapa versi UFS dan HFS+ menggunakan atribut file diperluas. Fitur ini diterapkan padakernel Linux, FreeBSD dan MacOS X, serta membolehkan metadata untuk dihubungkan dengan
    • file pada level file system. Misalnya info tentang pembuat dokumen, pengkodean karakter daridokumen plain-text, atau checksum.3.1.3 File system hirarkis File System hirarkis merupakan minat riset awal dari Dennis Ritchie. Implementasisebelumnya terbatas pada beberapa level, terutama IBM, bahkan pada database awal merekaseperti IMS. Setelah suksesnya Unix, Ritchie memperluas konsep file system ini ke dalam setiapobjek dalam pengembangan Sistem Operasi berikutnya yang dikembangkannya, seperti Plan 9dan Inferno.3.1.4 Fasilitas File System tradisional menawarkan fasilitas untuk membuat, memindah dan menghapusfile dan direktrori. File System tradisional masih kekurangan fasilitas untuk membuat linktambahan ke direktrori, merubah link parent, dan membuat link bidireksional ke file. File system tradisional juga menawarkan fasilitas untuk memotong, menambah catatan,membuat, memindah, menghapus dan modifikasi file di tempat. Mereka tidak menawarkanfasilitas untuk menambah di awal atau untuk meghapus dari bagian awal file, membiarkanpenyisipan tunggal sembarang ke file atau penghapusan dari file. Operasi yang disediakan sangatasimetris dan kekurangan manfaat dalam konteks yang tidak diharapkan. Misalnya, pipeinterproses dalam Unix harus dilakukan di luar file system karena konspe pipe tidak menawarkanpemotongan dari awal file.3.1.5 Keamanan akses Akses aman ke dalam operasi file system dasar dapat didasarkan pada skema AccessControl List atau Capability. Hasil riset menunjukkan bahwa ACL sulit mengamankan secarapatut. File System komersial masih menggunakan Access Control List.3.2 Tipe-tipe File System Tipe-tipe File System dapat diklasifikaskan ke dalam disk file system, file systemjaringan dan file system untuk tujuan khusus.
    • 3.2.1 File system Disk Sebuah file system disk adalah file system yang didesain untuk menyimpan data padasebuah media penyimpan data, umumnya disk drive baik yang langsung atau tidak langsungterhubung ke komputer. Contoh File System Disk misalnya FAT (FAT 12, FAT 16, FAT 320),NTFS, HFS, HFS+, ext2, ext3, ISO 9660, ODS-5 dan UDF. Beberapa File System Disk adayang termasuk file system journaling atau file system versioning.3.2.2 File System Flash Sebuah file system Flash adalah file system yang didesain untuk menyimpan data padamedia flash memory. Hal ini menjadi lazim ketika jumlah perangkat mobile semakin banyak dankapasitas memory flash yang semakin besar. Block device layer dapat mensimulasikan sebuah disk drive agar file system disk dapatdigunakan pada flash memory, tapi hal ini kurang optimal untuk beberapa alasan. Menghapusblok. Blok Flash memory harus dihapus sebelum dapat ditulis. Waktu yang dibutuhkan untukmenghapus sebuah blok bisa jadi signifikan, dan hal ini juga bermanfaat untuk menghapus blokyang tidak dipakai saat media dalam keadaan idle. Random Access. file system Diskditingkatkan untuk mencegah pencarian disk, Flash memory tidak membebankan prosespencarian sama sekali . Level pemakaian: media memori flash cenderung mudah rusak ketikasatu blok tunggal di-overwrite secara berulang; file system flash didesian untuk me-write secaramerata3.2.3 File System Database Konsep baru untuk manajemen file adalah konsep file system berbasis database. Sebagaiperbaikan bagi Manajemen terstruktur hirarkis, file diidentifikasi oleh karakteristiknya, sepertitipe file, topik, pembuat atau metadata yang sama.3.2.4 File System Transaksional Setiap operasi disk dapat melibatkan perubahan ke sejumlah file dan struktur disk yangberbeda. Dalam banyak kasus, perubahan ini berhubungan. Hali in iberarti bahwa operasi inidieksekusi pada waktu yang sama. Ambil contoh ketika sebuah Bank mengirimkan uang ke Banklain secara elektronik. Komputer Bank akan „mengirim‟ perintah transfer ke Bank lain danmeng-update record-nya untuk menunjukkan bahwa telah terjadi transaksi. Jika untuk beberapa
    • alasan terjadi crash antar komputer sebelum komputer berhasil mengupdate record-nya sendiri,maka tidak akan ada tidak akan ada record transfer tapi Bank akan kehilangan uangnya. Pemrosesan transaksi memperkenalkan jaminan bahwa pada tiap point ketika transaksiberlangsung, sebuah transaksi dapat disudahi secara tuntas atau diulang sepenuhnya. Hal iniberarti jika terjadi crash atau kegagalan power, setelah recovery, kondisi yang disimpan akantetap. File System journaling adalah salah satu teknik yang digunakan untuk mengenalkankonsistensi level-transaksi ke dalam struktur file system.3.2.5 File System Jaringan File System Network adalah file system yang bertindak sebagai klien untuk protokolakses file jarak jauh, memberikan akses ke file pada sebuah server. Contoh dari File systemnetwork ini adalah klien protokol NFS, AFS, SMB, dan klien FTP dan WebDAV.3.2.6 File System untuk Tujuan khusus File System untuk tujuan khusus adalah file system yang tidak termasuk disk file systematau file system Jaringan. Termasuk dalam kategori ini adalah sistem di mana file ditata secaradinamis oleh software, ditujukan untuk tujuan tertentu seperti untuk komunikasi antar proseskomputer atau space file sementara. File system untuk tujuan khusus sangat banyak dipakai oleh OS yang berpusat pada fileseperti UNIX. Contoh file system ini adalah file system procfs (/proc) yang dipakai olehbeberapa varian Unix, yang memberikan akses ke informasi mengenai proses dan fitur-fitur dariOS.3.2.7 File System Journaling File system journaling adalah file system yang mencatat perubahan ke dalam jurnal(biasanya berupa log sirkuolar dalam area tertentu) sebelum melakukan perubahan ke filesystem. File system seperti ini memiliki kemungkinan yang lebih kecil mengalami kerusakansaat terjadi power failure atau system crash.
    • Meng-update file system untuk menunjukkan perubahan ke file dan direktori biasanyamembutuhkan banyak operasi write yang terpisah. Sebagai contoh, operasi delete dalam filesystem Sistem Unix melibatkan dua proses: Menghilangkan entri direktori Menandai inode dan space file sebagai space yang kosong Jika terjadi crash antara proses 1 dan 2, akan akan inode yang rusak. Di sisi lain, jika hanya proses 2 yang dijalankan pertama kali sebelum crash maka file yang belum dihapus Akan ditandai sebagai kosong dan mungkin akan ditumpuk dengan file lain. Dalam file system non-journaling, mencari dan memperbaiki kerusakan ini akammembutuhkan penelusuran menyeluruh pada struktur datanya. Hal ini akan memakan waktulama jika file system tersebut besar dan jika bandwidth I/O kecil. File system journalingmenjaga jurnal perubahan yang akan dibuat, setiap waktu. Ketika terjadi crash, pemulihan dapatdilakukan dengan simple dengan mengulang perubahan dari jurnal ini hingga file system kembalikonsisten. Beberapa File system yang pernah dikembangkan Berikut ini adalah beberapa filesystem yang terkenal yang pernah dikembangkan. File system-file system berikut terutamadikembangkan untuk Sistem Operasi Windows dan Unix atau Linux. Namun, ada juga filesystem yang dapat berjalan baik di Linux maupun di Windows.3.3 Mengenal File Sistem Sebelum media dapat digunakan untuk menyimpan data, biasanya media tersebut harusdipartisi dan diformat ke dalam logical volume terlebih dulu. Mempartisi adalah suatu aktivitasuntuk membagi media secara logikal ke dalam bagian-bagian yang berfungsi sebagai unit fisikterpisah. Logical volume adalah sebuah partisi atau kumpulan partisi yang berfungsi sebagai satukesatuan yang telah diformat dengan suatu filesistem. Beberapa jenis media, seperti disket, dapatberisi paling banyak satu partisi (dan sebagai konsekuensi, satu logical volume). Format logicalvolume ditentukan oleh filesistem yang dipilih.Suatu filesistem menentukan cara file dinamai,disimpan, diorganisir dan diakses pada logical volumes. Terdapat beragam filesistem, masing-masing menyediakan fitur dan struktur data yang unik. Namun demikian, semua filesistemmemiliki beberapa ciri umum.
    • Pertama, mereka menggunakan konsep direktori dan file untuk mengorganisir danmenyimpan data. Direktori adalah struktur organisasional yang digunakan untukmengelompokkan file. Selain file, direktori dapat berisi direktori lain yang disebut subdirektori.Kedua, filesistem menggunakan beberapa struktur data untuk menunjuk lokasi file pada media.Mereka juga menyimpan masing-masing file data yang ditulis ke media dalam satu atau lebihunit alokasi file. Hal ini dikenal sebagai cluster oleh beberapa filesistem (misalnya FileAllocation Table [FAT], NT File System [NTFS]) dan blok oleh filesistem lainnya (misalnyafilesistem Unix dan Linux). Sebuah unit alokasi file adalah sebuah kelompok sektor, yangmerupakan unit terkecil yang dapat diakses pada suatu media.Berikut ini adalah beberapa filesystem yang umum digunakan:3.3.1 FAT FAT merupakan File System yang digunakan dalam Sistem Operasi Windows. NamaFAT berasal dari penggunaan tabel yang memusatkan informasi tentang area mana milik fileyang kosong atau mungkin tidak dipakai, dan di mana setiap file yang disimpan dalam disk.Untuk membatasi ukuran tabel, space disk dialokasikan ke file dalam grup-grup sektor hardwareyang bersebelahan, disebut cluster. Ketika disk drive berkembang, jumlah maksimum cluster punmeningkat dan begitu juga jumlah bit yang mengidentifikasikan bahwa cluster telah berkembang.Versi pengembangan dari format file system FAT dinamai sesuai dengan jumlah bit tabelelemennya, yaitu: FAT12, FAT16 dan FAT32. FAT12. FAT12 merupakan file sistem asli dari FAT yang pertama kali digunakan dalamsistem operasi MS-DOS. FAT12 bisa diakses oleh MS-DOS dan semua OS Windows. FAT12menggunakan sebuah entri FAT 12-bit untuk menunjuk entri dalam file sistem atau dengan katalain menggunakan ukuran unit alokasi yang memiliki batas hingga 12 bit. Batas kapasitas elemenFAT12 mencapai hingga 32 MB. Berikut bentuk organisasi disk pada FAT12 sistem file.
    • FAT16. MS-DOS, Windows 95/98/Nt/2000/Xp, Server Windows 2003, dan beberapa sistem operasi UNIX mendukung FAT16 secara asli. FAT16 biasanya juga digunakan untuk alat multimedia seperti audio player dan kamera digital. FAT16 menggunakan ukuran unit alokasi yang memiliki batas hingga 16 bit. Volume FAT16 terbatas hingga maksimum 2 GB di dalam MS-DOS dan Windows 95/98. Namun saat ini Windows NT dan sistem operasi yang lebih baru meningkatkan ukuran volume maksimum FAT16 menjadi 4 GB FAT32. Diperkenalkan mulai Windows 95 OEM Service Release 2 (OSR2), Windows 98/2000/XP, dan Windows Server 2003 mendukung FAT32 secara asli, seperti halnya beberapa alat multimedia. FAT32 menggunakan ukuran unit alokasi yang memiliki batas hingga 32 bit. Ukuran maksimum volume FAT32 adalah 2 terabytes (TB). Perbandingan FAT 12 or FAT 16 or FAT 323.3.2 NTFS (New Technology File System) NTFS adalah suatu filesistem dapat dipulihkan, yang berarti bahwa ia dapat secaraotomatis mengembalikan konsistensi filesistem manakala terjadi kesalahan. Sebagai tambahan,NTFS mendukung data kompresi dan enkripsi, dan memungkinkan ijin tingkat user dan grupdidefinisikan untuk file dan direktori. Ukuran maksimum volume NTFS adalah 2TB. NTFS merupakan file system standar untuk Windows NT termasuk windows 200, XP,Server 2003, Windows Server 2008 dan Wondows Vista. NTFS menggantikan file system FATsebagai file system yang dipakai untuk Sistem Operasi Windows. Versi rilis NTFS ada beberapa,sebagai berikut: v1.0 with NT 3.1, dirilis pertengahan-1993 v1.1 with NT 3.5 dirilis 1994
    • v1.2 (pertengahan -1995) and NT 4 (pertengahan -1996) v3.0 dari Windows 2000 v3.1 dari Windows XP (2001), Windows Server 2003 (2003), Windows Vista (pertengahan -2005) dan Windows Server 2008 Dalam NTFS, semua file data – nama file, tangal pembuatan, ijin akses dan isi –disimpan dalam metadata dalam Master File Table (MFT). NTFS mengijinkan setiap urutan 16-bit nilai utuk encoding nama (nama file, nama stream, nama index, dll). Master File tablemengandung metadata tentang setiap file, direktori dan metafile dalam suatu volume denganpartisi NTFS. Metadata itu termasuk nama filem lokasim ukuran dan ijinnya. Strukturnyamendukung algoritma yang memperkecil disk fragmentation.Tujuan spesifik dari NTFS adalah: Reliability (Keandalan) Satu hal yang penting dari sebuah file system yang serius adalah bahwa file system tersebut harus dapat pulih kembali dari masalah tanpa kehilangan data hasil. Disini NTFS mencegah hilangnya data dan memperkecil toleransi dari kesalahan dalam processing. Security dan Access Control (Kontrol Akses dan Keamanan) Kelemahan dari FAT adalah ketidakmampuan mengontrol akses file atau folder dari hard disk, sehingga memungkinkan pihak luar untuk mengubah data pada suatu sistem jaringan. Breaking Size Barriers (Menghambat Ukuran) Karena pada sistem FAT dalam hal ini FAT16 tidak dapat mempartisi lebih dari 4GB, sedang NTFS didesain untuk partisi yang jauh lebih besar. Storage Efficiency (Efisiensi Penyimpanan) NTFS lagi-lagi memperbaiki kelemahan pada FAT16 karena pada sistem ini memungkinkan terjadinya ketidak efisienan pada penyimpanan pada kapasitas hard disk. Untuk itu NTFS menggunakan metode lain dalam alokasi kapasitas hard disk tersebut. Long File Names (Panjang Nama File) NTFS memungkinkan nama sebuah file hingga 255 karakter, dibandingkan dengan pada FAT adalah 8+3 karakter.
    • Networking (Jaringan) Saat ini networking berkembang pesat dengan NTFS memungkinkan networking dalam skala besar. Storage Fault Tolerance (Penyimpanan Toleransi Kesalahan) Data-redundant storage methods dapat diterapkan pada NTFS. Hal ini berguna dalam menjamin dan melindungi jika suatu data/berkas mengalami kerusakan dengan mengkopi ulang data yang sama dari disk mirror. Multiple Data Stream (Beberapa Data Stream) NTFS dapat terdiri dari lebih 1 stream. Stream tambahan ini dapat berisi berbagai jenis data, walau data itu hanya mendeskripsikan berkas atau metadata. Unicode Names (Unicode Nama) Unicode merupakan paket karakter standar yang digunakan pada NTFS dan menggantikan karakter older-single byte ASCII. Setiap karakter pada kebanyakan bahasa yang natural adalah direpresentasikan dengan double-byte number dalam paket karakter Unicode. Improved File Attribute Indexing (Meningkatkan Index File Atribut) Dalam NTFS juga terdapat kemampuan untuk memberi indeks pada atribut berkas, fungsinya ialah sebagai penglokasian dan sorting. Data Compression (Kompresi Data) Dalam kompresi data metode yang digunakan adalah Lempel-Ziv Compression. Dengan algoritma ini dipastikan tidak ada data yang hilang pada proses kompresi.3.3.3 ext2 Ext2 atau second extended file system adalah file system untuk kernel Linux. ext2fsmendukung jenis file dan pemeriksaan filesistem standar Unix untuk memastikan konsistensifilesistem. Ukuran volume ext2fs maksimum adalah 4 TB. Meskipun bukan termasuk file systemjournaling, tapi penerusnya yaitu ext3 menyediakan fitur journaling dan hampir sepenuhnyakompatibel dengan ext2. File system pertama yang dipakai dalam Sistem Operasi Linux adalahMinix FS yang hampir bebas sepenuhnya dari bug, namun menggunakan offset 16-bit danukuran maksimum hanya 64 MB. Nama file juga terbatas hanya 14 karakter. Untuk mengatasihal ini, dibuatlah file system baru yang dimulai dengan penambahan layer file system virtualpada kernel Linux.
    • File system ext dirilis pada April 1992 sebagai file system pertama yang menggunakanVFS API dan dimasukkan dalam Linux 0.96c. File system ext menyelesaikan dua masalahUtama dalam Minix FS (ukuran partisi max dan panjang nama file), dan membolehkan partisihingga 2GB dan nama file hingga 255 karakter. Namun masih ada masalah: belum ada dukunganuntuk akses terpisah, modifikasi inode dan timestamp modifikasi data. Ext2 didesain dengantujuan bahwa file system ini akan dapat dikembangakan lagi, dengan sisa space yang masihbanyak pada struktur datanya untuk dipakai dalam versi mendatang. Fitur seperti POSIX ACLdan atribut diperluas diimplementasikan pertama kali pada ext2 karena mudah diperluas daninternalnya sangat dimengerti. Dalam Kernel Linux hingga 2.6, batasan dalam driver blok berarti bahwa file system ext2memiliki ukuran file maksimum 2 TiB. Kernel Linux yang lebi baru membolehkan ukuran fileyang lebih besar, namun sistem 32-bit hanya membatasi hingga ukuran file 2 TiB. Ext2 masihdirekomendasikan sebagai file system journaling pada Flash Drive USB bootable dan mediasolid-state lainnya. Ext2 melakukan operasi write yang lebih sedikit dibading ext3 karena ext2tidak perlu melakukan write ke journal. Faktor utama yang mempengaruhi usia flash Driveadalah siklus hapus, dan juga siklus write, hal inilah yang menyebabkan pemakaian ext2membuat usia media flash drive lebih panjang. Space dalam ext2 dibagi dalam blok-blok danditata dalam grup-grup blok, sama dnegan grup silinder dalam File System Unix. Hal inidilakukan untuk mengurangi fragmentasi external dan mengurangi pencarian disk saat me-readdata yang besar. Tiap grup blok berisi superblok, bitmap grup blok, bitmap inode diikuti oleh data blokaktual. Superblok mengandung informasi penting yang krusial untuk proses booting SistemOperasi, namun copy back up juga dibuat pada setiap grup blok dari tiap blok dalam file system.Hanya copy pertama yang ada pada blok pertama file system yang dipakai dalam proses booting.Deskriptor blok menyimpan nilai bitmap blok, bitmap inode dan table inode awal untuk tiap grupblok yang nantinya semuanya akan disimpan dalam tabel grup descriptor.
    • 3.3.4 ext3 Ext3 atau third extended file system adalah file system journaling yang umum digunakandalam Sistem Operasi Linux. Ext3 merupakan pengembangan versi journaling dari file systemext2 yang hampir kompatibel secara keseluruhan dengan ext2 dan menyediakan kemampuanmenjurnai yang memungkmkan pemeriksaan konsistensi filesistem dilakukan dengan cepat padasejumlah data yang besar.. Adanya fitur journaling inilah yang membuatnya lebih dibanding ext2yang membuatnya lebih reliable dan menghilagkan keperluan untuk mengecek file systemsetelah shutdown yang tidak semestinya. Ukuran volume extSfs maksimum adalah 4 TB.•ReiserFS.21 ReiserFS didukung oleh Linux dan merupakan filesistem baku bagi beberapa versiLinux, la memberikan kemampuan menjurnai dan jauh lebih cepat dibandingkan filesistemext2fs dan extSfs. Ukuran volume maksimum adalah 16 TB. Meskipun kecepatannya tidak lebih baik daripada file system Linux lainnya seperti JFS,ReiserFS dan XFS, tapi ext3 memiliki manfaat yang signifikan yaitu membolehkan upgrade ditempat dari file system ext2 tanpa harus mem-back up dan me-restore data yang berartimengurangi konsumsi daya CPU. Ext3 juga diangap lebih aman dibanding file system Linuxlainnya karena kederhanaannya dan juga uji cobanya yang luas.File system ext3 menambahkan fitur-fitur ini dibanding pendahulunya: File system journaling Penambahan file system secara online Indeks htree untuk direktori yang lebih luasTanpa ini, file system ext3 akan sama saja dengan ext2.Ada 3 level journaling yang tersedia dalam implementasi ext3 pada Sistem Linux: Journal (resiko terendah) Metadata dan isi file disimpan dalam jurnal sebelum dikerjakan ke file system utama. Ordered (resiko menengah) Hanya metadata yang disimpan dalam jurnal, isi file tidak disimpan tapi dijamin bahwa bahwa isi file disimpan ke disk sebelum metadata yang bersesuaian ditandai untuk dicommit dalam jurnal. Writeback (resiko tertinggi) Hanya metadata yang disimpan dalam jurnal, isi file tidak. Isi file mungkin di-write
    • sebelum atau sesudah jurnal di-update. Akibatnya, file dimodifikasi tepat sebelum crash dapat terjadi.Ukuran 1KiB 16GiB <2tib p="p">BLok 2KiB 256GiB <4tib p="p">Ukuran file Max 4KiB 2TiB <8tib p="p">Ukuran file system 8KiB 2TiB <16tib nbsp="nbsp" p="p"Max3.4 File system and Sistem Operasi Hampir semua OS juga menyediakan file system, karena file system adalah bagianintegral dari semua OS. Tugas nyata dari OS microcomputer generasi awal hanyalah berupamanajemen file. Beberapa OS masa kini memiliki komponen terpisah untuk menangani filesystem yang dulunya disebut Disk Operating System (DOS) ini. Dalam beberapamikrokomputer, DOS diload secara terpisah dari bagian OS yang lain. Karena itulah, diperlukan interface antara user dan file system yang disediakan olehsoftware dalam Sistem Operasi. Interface ini dapat berupa textual seprti Unix Shell atau grafisseperti file browser. Jika berupa grafis, seringkali digunakan metafora seperti folder, isidokumen, file dan direktori folder.3.4.1 File system flat Dalam sebuah file system flat, tidak ada subdirektori – semua file disimpan pada levelmedia yang sama (root), misal hard disk, floppy disk, dll. Sistem ini menjadi tidak efisien ketikajumlah file bertambah banyak, dan karenanya sulit bagi user untuk mengorganisir data ke dalamgrup-grup.3.4.2 File system dalam platform Sistem Operasi Unix-like Sistem Operasi Unix-like membuat file system virtual, yang membuat semua file padasemua media tampak berada pada susatu hirarki tunggal. Hal ini berarti, dalam sistemtersebut,ada satu direktori /root, dan setiap file yang ada pada sistem diletakkan di bawahdirektori tersebut.. Lebih jauh lagi, direktori /root tidak harus berada dalam suatu media fisik. D-
    • irektori tersebut bisa jadi tidak ada di Hard Drive bahkan mungkin tidak berada di komputerAnda. OS Unix-Like dapat menggunakan sumber daya dari jaringan sebagai direktori /root-nya. International Organization for Standardization (ISO) 9660 dan Joliet ISO 9660 filesistem biasanya digunakan pada CD-ROM. Filesistem CD-ROM yang popular lainnya adalah Joliet, suatu varian ISO9660. ISO 9660 mendukung panjang nama file sampai 32 karakter, sedangkan Joliet mendukung sampai 64 karakter. Joliet juga mendukung karakter Unicode di dalam pemberian nama file. Universal Disk Format ( UDF). UDF adalah filesistem yang digunakan untuk DVD dan juga digunakan untuk beberapa CD. Sistem Unix-like memberikan nama kepada tiap media, tapi hal ini bukanlah carabagaimana file dalam media tersebut diakses. Untuk mendapatkan akses ke file di media lain,Anda pertama kali harus memberitahu OS di direktori mana file tersebut akan tampil. Proses inidisebut dengan mounting sebuah file system. Sebagai contoh, untuk mengakses file pada CD-ROM, user harus memberitahu OS “ambil file system dari CD-ROM ini dan tampilkan padadirektori ini dan ini”. Direktori yang diberikan ke OS disebut sebagai mountpoint, yang bisaberupa, misalnya /media. Direktori /media ada pada kebanyakan Sistem Unix dan ditujukankhusus untuk dipakai sebagai mount point untuk media removable seperti CD, DVD, dan floppydisk. Umumnya, hanya administrator aau pengguna root dapat melakukan aksi mounting filesystem ini. OS Unix-like seringkali sudah memiliki software dan tools yang menangani prosesmounting dan menyediakan fungsi baru. Strategi ini disebut dengan “auto-mounting”, sepertiyang tercermin dalam tujuannya. Dalam banyak situasi, file system selain root diharuskan tersedia segera setelah OS telah boot. Karena itu, semua Sistem Unix-like menyediakan fasilitas untuk me-mount file system pada saat booting. Administrator menyebut file system ini Dalam beberapa situasi, tidak perlu me-mount beberapa file system pada saat boot, meskipun mungkin dibutuhkan setelahnya Media removable telah menjadi hal yang umum dengan platform mikrokomputer. Removable media ini mengijinkan program dan data untuk ditransfer antar mesin tanpa koneksi fisik. Misalnya USB flash drive, CD-RM, dan DVD. Hal ini menyebabkan
    • dikembangkannya perangkat untuk mendeteksi keberadaan suatu medium dan ketersediaan mount-point serta me-mount media tersebut tanpa intervensi dari user. Sistem Unix-like yang lebih maju juga telah mengenalkan konsep yang disebut supermounting. Contohnya, sebuah floppy disk yang telah di-supermount dapat dicopot secara fisik dari sistem. Dalam keadaan normal, disk harus sudah disinkronkan dan kemudian di-unmount sebelum dicopot. Sinkronisasi yang diperlukan sudah terjadi, disk yang berbeda dapat disisipkan ke dalam drive. Sistem secara otomatis mengetahui bahwa disk telah dirubah dan mengupdate isi mount point untuk mengindikasikan medium baru. Fungsi serupa ditemukan pada mesin Windows standar Inovasi serupa yang dipilih oleh beberapa pengguna adalah menggunakan autofs, sistem yang tidak membutuhkan perintah mount manual. Perbedaannya dengan supermount adalah media di-mount secara transparan ketika permintaan ke file system dibuat. Cara ini sesuai untuk file system pada server jaringan.3.4.2.1 File system dalam platform Linux Linux mendukung banyak file system yang berbeda, tapi pilihan yang umum untuksistem di antaranya adalah keluarga ext* (seperti ext2 dan ext3), XFS, JFS dan ReiserFS 4.2.2 Hierarchical File System (HFS). HFS didukung secara langsung oleh Mac OS. HFS sebagian besar digunakan di dalam versi lama Mac OS tetapi masih didukung dalam versi lebih baru. Ukuran volume maksimum HFS di Mac OS 6 dan 7 adalah 2 GB. Ukuran volume maksimum HFS dalam Mac OS 7.5 adalah 4 GB. Mac O 7.5.2 dan sistem operasi Mac yang terbaru meningkatkan ukuran volume maksimum HFSmenjadi2TB HFS Plus. HFS Plus didukung secara langsung oleh Mac OS 8.1 dan versi selanjutnya dan ia merupakan sebuah filesistem berjurnal di Mac OS X. HFS Plus adalah penerus HFS dan memberikan banyak peningkatan seperti mendukung nama file yang panjang dan nama file Unicode untuk penamaan file internasional. Ukuran volume maksimum HFS Plus adalah 2 TB. File system dalam platform Mac OS X MacOS X menggunakan file system HFS Plusyang merupakan turunan dari Mac OS klasik yaitu. HFS plus adalah file system yang kayametadata dan case preserve. Karena Mac OS X memiliki root milik Unix, aturan Unix jugaditambahkan dalam HFS Plus. Versi terbaru dari HFS plus menambahkan journaling untuk
    • mencegah kerusakan pada struktur file system dan mengenalkan sejumlah optimasi dalam halalgoritma alokasi dalam usaha untuk memecah file secara otomatis tanpa membutuhkandefragmenter luar. Nama file dapat mencapai 255 karakter. HFS Plus menggunakan pengkodean Unicodeuntuk menyimpan nama file. Dalam Mac OS X, tipe file dapat diambil dari type code yangdisimpan dalam metadata atau nama file. HFS Plus memiliki tiga macam link: Hard Link sepertipada Unix, Link simbolis Unix, dan alias. Alias didesain untuk menangani link ke file asli meskifile tersebut telah dipindah ataupun diubah namanya. Alias ini tidak diinterpretasikan dalam filesystem, tapi pada kode File Manager pada userland. Mac OS X juga mendukung penggunaan File System UFS yang merupakan turunan dariFile System Unix BSD.Unix File System (UFS). UFS didukung secara asli oleh beberapa jenissistem operasi Unix, termasuk Solaris, FreeBSD, OpenBSD, dan Mac OS X Namun demikian,kebanyakan sistem operasi sudah menambahkan fitur khusus, sehingga detil UFS berbeda antarimplementasi. Compact Disk File System (CDFS). Seperti indikasi namanya, CDFS filesistemdigunakan untuk CD.3.4.3 File system dalam platform Microsoft Windows Microsoft Windows menggunakan file system FAT dan NTFS .File System FAT (FileAllocation Table) yang didukung oleh semua versi Microsoft Windows merupakan evolusi filesystem yang digunakan dalam MS DOS. Selama bertahun-tahun, banyak fitur telah ditambahkandalam pengembangannya, yang terinspirasi dari fitur serupa yang ada pada file system yangdipakai pada Unix. Versi lama dari file system FAT (FAT12 dan FAT16) memiliki keterbatasandalam memberikan nama file, batasan dalam hal jumlah entri dalam direktori root dalam filesystem dan batasan jumlah maksimum partisi. Secara spesifik, FAT12 dan FAT16 membatasinama file hanya sampai 8 karakter dan 3 karakter untuk perluasan. VFAT yang merupakanperluasan dari FAT12 dan FAT16 mulai diperkenalkan pada Windows NT dan berikutnyadimasukkan dalam Windows 95, yang mengijinkan nama file yang panjang. NTFS yangdiperkenalkan bersama dengan Wndows NT mengijinkan kontrol berbasis Access Control List.NTFS juga mendukung Hard link, aliran file jamak, indexing atribut, pengecekan kuota,kompresi dan menyediakan mount point untuk file system lainnya.
    • Tidak seperti Sistem Operasi lainnya, Windows menerapkan abstraksi berupa drive letterpada level user untuk membedakan sebuah disk atau partisi dari yang lain. Sebagai contoh, pathC:Windows menunjukkan direktori Windows pada partisi yang ditunjukkan oleh label huruf C.Drive dalam jaringan juga dapat di-map menjadi drive letter.3.4.3.1 Proses pengambilan data Sistem Operasi memanggil IFS (Installable File System) manager. IFS kemudianMemanggil FSD (File System Driver) yang sebenarnya untuk membuka file yang diminta daribeberapa pilihan FSD yang bekerja untuk File System yang berbeda –NTFS, VFAT, CDFS(untuk drive optikal) dan network drive. FSD kemudian mendapatkan info lokasi kluster pertamadari file pada disk dari FAT, VFAT atau MFT (Master File Table). MFT inilah yang yangmemetakan semua file pada disk dan merekan jejak di mana file disimpan.3.4.3.2 File Identification File format identifikasi adalah proses untuk mencari tahu format dari urutan byte. Systemoperasi biasanya mencari tahu format dari urutan byte melalui ekstensi file ataupun melaluiinformasi yang terdapat pada MIME. Aplikasi forensik perlu mengidentifikasi jenis file darikonten.3.4.3.3 Time Data recovery merupakan bagian dari analisa forensik di mana hal ini merupakankomponen penting di dalam mengetahui apa yang telah terjadi, rekaman data, korespondensi,dan petunjuk lannya. Banyak orang tidak menggunakan informasi yang berasal dari datarecovery karena dianggap tidak murni/asli/orisinil. Setiap sistem operasi bekerja dalam arah yang unik, berbeda satu sama lain (walaupunberplatform sistem operasi yang sama). Untuk melihat seberapa jauh data sudah dihapus ataubelum, perlu memperhatikan segala sesuatu yang ada dalam raw disk. Jika data yang digunakanuntuk kejahatan ternyata masih ada, maka cara yang termudah adalah menguji data denganpemanfaatan tool yang ada pada standar UNIX, seperti strings, grep, text pagers, dan sebagainya.Sayangnya, tools yang ada tidak menunjukkan data tersebut dialokasikan di mana. Contohnya,intruder menghapus seluruh system log files (dimulai dari bulan, hari, dan waktu) dari minggu
    • pertama Januari, seharusnya ditulis untuk melihat syslog tersebut: Melalui investigasi dari sistemyang dirusak oleh intruder, sistem files UNIX yang modern tidak menyebar contents dari suatufile secara acak dalam disk. Sebagai gantinya, sistem files dapat mencegah fragmentasi file,meskipun setelah digunakan beberapa tahun. File content dengan sedikit fragmentasi akan lebih mudah untuk proses recover dari padafile content yang menyebar dalam disk (media penyimpanan). Tetapi sistem file yang baikmemiliki beberapa keuntungan lain, salah satunya mampu untuk menghapus informasi untukbertahan lebih lama dari yang diharapkan. Dalam kasus Linux, sistem file extension tidak akan menghapus lokasi dari urutanpertama 12 blok data yang tersimpan dalam inode jika file sudah dipindah/dihapus. Hal iniberarti menghapus data dapat dikembalikan langsung dengan menggunakan icat dalam inodeyang terwakilkan. Seperti metode data recovery lainnya, tidak akan menjamin jika data tetap adadi tempat semula. Jika file dihapus dalam sistem operasi Linux, inode‟s time akan terupdate.Dengan menggunakan informasi tersebut, data dapat dikembalikan dari 20 inode pada sistem fileyang dihapus. Untuk itu seringkali penting untuk mengetahui kapan suatu file digunakan ataudimanipulasi, dan kebanyakan sistem operasi mencatat timestamps tertentu yang terkait denganfile. Timestamps yang biasanya digunakan adalah waktu modifikasi, akses, dan penciptaanmodification, access, and creation‟, MAC), sebagai berikut: Waktu Modifikasi Ini adalah waktu terakhir file diubah dengan berbagai cara, meliputi ketika suatu file ditulis dan ketika file tersebut diubah oleh program lain Waktu Akses. Ini adalah waktu terakhir dilakukannya akses apapun pada file (misalnya, dilihat, dibuka, dicetak) Waktu penciptaan. Ini biasanya merupakan waktu dan tanggal file diciptakan. Bagaimanapun, ketika file disalinkan ke sistem, waktu penciptaan akan menjadi waktu file dicopy ke sistem yang baru.Waktu modifikasi akan tetap utuh. Filesistem yang berbeda mungkin saja menyimpan jenis waktu yang berbeda. Sebagaicontoh, Sistem Windows menyimpan waktu modifikasi terakhir, waktu akses terakhir, dan waktupenciptaan file. Sistem UNIX menyimpan waktu modifikasi terakhir, perubahan inode terakhir,dan waktu akses terakhir, namun beberapa sistem UNIX (termasuk versi BSD dan SunOS) tidakmemperbaharui waktu akses terakhir file eksekutabel ketika mereka dijalankan. Beberapa sistem
    • UNIX merekam waktu terkini ketika metadata file diubah. Metadata adalah data tentang data;untuk filesistem, metadata adalah data yang menyediakan informasi mengenai isi file. Jika suatu analis ingin menetapkan garis waktu yang akurat atas suatu peristiwa, makawaktu file harus dipelihara. Analis harus sadar bahwa tidak semua metode untuk memperolehfile dapat memelihara waktu file. Image bit stream dapat mempertahankanwaktu file karenadilakukan penyalinan bit-for-bit; melakukan logical backup menggunakan beberapa tool dapatmenyebabkan waktu penciptaan file terubah ketika file data disalinkan. Oleh karena itu, bilawaktu file penting, harus digunakan imaging bit stream untuk mengumpulkan data.Analis juga harus menyadari bahwa waktu file tidak selalu akurat. Beberapa alasanketidakakuratan itu adalah sebagai berikut: Jam komputer tidak mempunyai waktu yang benar itu. Sebagai contoh, jam mungkin tidak selalu disinkronisasi secara teratur dengan sumber waktu resmi Waktu tidak mungkin direkam dengan tingkat detil yang diharapkan, seperti menghilangkan detikatau beberapa menit Penyerang mungkin telah mengubah waktu file yang direkam.4 Winhex : Forensic Software WinHex pada intinya adalah editor hexadecimal universal, yang paling utama adalahsangat membantu dalam bidang computer forensics, data recovery, proses data dalam tingkatyang rendah, dan keamanan IT. Sebuah peralatan yang semakin maju setiap harinya danpenggunaan dalam keadaan darurat : memeriksa dan mengedit semua jenis file mengembalikandata yang telah dihapus atau data yang telah hilang dari hard drives system file yang corrupt,atau dari kartu memory digital camera.Berikut adalah beberapa fitur WinHex, antara lain : Disk editor untuk hard disk, floppy disk, CD-ROM & DVD, ZIP, SmartMedia, Compact Flash Dukungan untuk FAT, NTFS, Ext2/3, ReiserFS, Reiser4, UFS, CDFS, UDF Memiliki interpretasi untuk sistem RAID dan dynamic disks Berbagai macam teknik pemulihan data RAM editor, menyediakan akses kepada physical RAM, dan proses–proses yang dimiliki virtual memory
    • Penerjemah data, mengetauhi 20 jenis type data Mengedit struktur data menggunakan templates (contoh : untuk memperbaiki tabel partisi / boot sector) Menyatukan dan memisahkan file, menyatukan dan membagi kejanggalan dalam bytes/words Menganalisa dan membandingkan file – file Pencarian yang paling flexibel dan mengganti fungsi – fungsi Disk cloning (undr DOS dengan X-Ways Replica) Mengatur gambar dan mengamankannya (menurut pilihan dikecilkan ukuran filenya atau dipisahkan menjadi dokumen – dokumen sebesar 650 MB) Memprogram interface (API) dan menulis program Enkripsi AES 256-bit, pengecekan total, CRC32, hashes (MD5, SHA-1) Menghapus file rahasia dengan aman, membesihkan hard drive demi menjaga privacy Mengimpor semua format clipboard, termasuk ASCII hex Mengkonversi diantara biner, hex ASCII, Intel hex, dan Motorola S Setelan karakter : ANSI ASCII, IBM ASCII, EBCDIC, (Unicode) Pergantian jendela yang cepat. Mencetak. Pembangkit nomor acak Mendukung file dengan ukuran yang lebih dari 4 GB. Sangat cepat. Mudah digunakan. Pertolongan yang selalu ada setiap saat X-Ways forensik, edisi forensik dari WinHex, adalah lingkungan computer forensik yangkuat dan mampu dengan sejumlah fitur forensik, menerjemahkannya menjadi perangkat analisisyang kuat : menangkap ruang yang bebas, ruang yang lemah, ruang dalam partisi, dan teks,membuat table yang berisi petunjuk dengan detail yang lengkap dengan segala file yangtermasuk dan file yang telah dihapus dan direktori dan bahkan alur data alternative (NTFS), filedengan penomoran yang tertahan, dan banyak lagi. Juga menyediakan sebagai penggambar diskdalam tingkatan rendah dan peralatan cloning yang menciptakan cermin sesungguhnya (termasukruang yang lemah) dan membaca sebagian besar format drive dan type media, pendukung –pendukung drive dan file dari ukuran yang pada dasarnya tidak terbatas (bahkan terabytes dariNTFS volumes).
    • X-Ways forensics dan WinHex pada dasarnya mengartikan dan menunjukan strukturdirektori pada FAT, NTFS, Ext2/3, Reiser, CDFS, dan media UDF dan file gambar. Itumenunjukan pemulihan aman pada hard disk, memory card, flash disks, floppy disks, ZIP, JAZ,CDs, DVDs, dan banyak lagi. X-Ways forensics dan WinHex menyatukan beberapa mekanismepenyembuhan file yang otomatis dan mengizinkan pemuliha data secara manual. WinHexmemberikan kepuasan, pencarian fungsi yang sangat cepat secara simultan yang mungkin andabutuhkan untuk mencari di seluruh media (atau data gambar), termasuk kelemahan, untuk datayang telah dihapus, data yang disembunyikan dan banyak lagi. Melalui akses fisik, hal ini dapatdilakukan meskipun isinya tidak terdeteksi oleh operating system, contohnya yang disebabkanoleh sistem file yang corrupt dan tidak diketahui. Winhex juga dapat digunakan untuk:4.1 Drive cloning, drive imaging Membuat suatu duplikasi yang bisa menghemat waktu dalam menginstall suatu dansoftware lainnya untuk beberapa komputer yang sejenis atau agar memungkinkan kita untukmemperbaiki suatu installasi yang sedang dilakukan apabila ada data yang rusak.4.2 RAM editor Untuk menjalankan/memanipulasi program yang sedang berjalan dan dalam permainankomputer khusus.4.3 Analyzing files Untuk menentukan jenis recoveri data sebagai bagian rantai yang hilang oleh ScanDiskatau ChkDisk4.4 Wiping confidential files or disks Dengan menghapus file rahasia dengan winhex maka tidak satupun dari komputer yangada bahkan spesialis komputer forensik sekalipun tidak akan bisa mendapatkan file itu lagi.4.5 Wiping unused space and slack space Dengan menghapus ruang kosong yang tidak terpakai maka akan meminimalkan ukuranbackup datanya. Pada drive berjenis NTFS, winhex dapat membersihkan semua file $Mft(Master File Table) yang tidak terpakai.4.6 ASCII - EBCDIC conversion Memungkinkan kita untuk bisa merubah kode ASCII ke EBCDIC4.7 Binary, Hex ASCII, Intel Hex, and Motorola S conversion Digunakan oleh programmer yang menggunakan (E)PROM
    • 4.8 Unifying and dividing odd and even bytes/words Digunakan oleh programmer yang menggunakan (E)PROM4.9 Conveniently editing data structure Kita bisa merubah struktur data yang ada dengan baik sesuai dengan apa yang kitainginkan.4.10 Splitting files that do not fit on a disk Kita bisa menggabungkan atau membagi file yang tidak muat di disk kita4.11 WinHex as a reconnaissance and learning tool Kita bisa menemukan program-program lain yang disimpan pada suatu file. Kita jugabisa mempelajari file-file yang formatnya tidak kita ketahui dan bagaimana file tersebut bekerja.4.12 Finding interesting values (e.g. the number of lives, ammunition, etc.) in saved game files Menggunakan penggabungan antara pencarian atau menggunakan perbandingan file4.13 Manipulating saved game files Untuk permainan di komputer, kita bisa mengikuti cheat-nya yang ada di internet ataukita bisa membuat cheat sendiri.4.14 Upgrading MP3 jukeboxes and Microsoft Xbox with larger hard drive Untuk meng-upgrade, hard disk baru memerlukan persiapan dan disinilah winhexdipergunakan4.15 Manipulating text Untuk mengubah text di sebuah file berupa binary yang di aplikasi tersebut tidakdiizinkan untuk bisa merubahnya.4.16 Viewing and manipulating files that usually cannot be edited Untuk mengubah file yang tidak bisa diubah karena dilindungi oleh windows4.17 Viewing, editing, and repairing sistem areas Seperti master boot record dengan table pembagiannya dan boot sector.4.18 Hiding data or discovering hidden data Winhex secara khusus memungkinkan kita menggunakan bagian yang kelebihan dantidak digunakan oleh sistem operasi4.19 Copy & Paste Kita dimungkinkan untuk secara bebas untuk mengkopi dari disk dan menuliskannya kedalam clipboard di disk tanpa perlu melihat batasan bagian/sektor nya
    • 4.20 Unlimited Undo Kita bisa mengulang apa yang telah kita ubah atau kerjakan dengan bebas tanpa batasan.4.21 Jump back and forward Winhex menyimpan sejarah/history apa yang telah kita kerjakan sehingga kita bisakembali ke sebelum atau ke tahap apa yang kita telah kerjakan dengan mudah seperti pada webbrowser.4.22 Scripting Pengubahan file otomatis menggunakan script. Script bisa dijalankan dari start centeratau awal perintahnya. Ketika script dijalankan kita bisa membatalkannya dengan menekan esc.4.23 API (Application Programming Interface) Pengguna yang professional (programer) akan memanfaatkan kemampuan winhex dalamprogram buatan mereka.4.24 Data recovery Bisa digunakan pada semua file sistem dan bisa memperbaiki beberapa jenis file padasatu waktu seperti file jpg, png, gif, tif, bmp, dwg, psd, rtf, xml, html, eml, dbx, xls/doc, mdb,wpd, eps/ps, pdf, qdf, pwl, zip, rar, wav, avi, ram, rm, mpg, mpg, mov, asf, mid.4.25 Komputer examination / forensiks Winhex adalah sebuah alat atau software yang sangat berharga bagi seorang spesialisinvestigasi komputer di sebuah perusahaan pribadi dan untuk penegakkan hukum.4.26 Trusted download Dengan winhex apa yang kita download akan lebih aman dan dapat dipercayakebersihannya dari hal-hal yang dapat mengganggu komputer kita4.27 128-bit encryption Dengan winhex kita bisa membuat file kita tidak bisa dibaca oleh orang lain.4.28 Checksum/digest calculationUntuk memastikan file yang ada tidak ada yang rusak dan tidak terubah, atau untuk mengenalifile-file yang dikenal.4.29 Generating pseudo-random data Digunakan untuk beberapa tujuan seperti simulasi ilmiah.
    • DAFTAR PUSTAKAhttp://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editorhttp://www.forensicswiki.org/wiki/File_Format_Identificationhttp://en.wikipedia.org/wiki/File_carvinghttp://en.wikipedia.org/wiki/Disk_Copyhttp://id.wikipedia.org/wiki/Metadatahttp://id.shvoong.com/internet-and-technologies/1679555-file/#ixzz1b6bAuIqdhttp://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdfhttp://romanistielf.wordpress.com/2011/10/26/disk-forensik/http://dytoshareforum.forumotion.net/t2470-winhex-159-sr-7-program-hex-editorhttp://www.forensicswiki.org/wiki/File_Format_Identificationhttp://en.wikipedia.org/wiki/File_carvinghttp://en.wikipedia.org/wiki/Disk_Copyhttp://id.wikipedia.org/wiki/Metadatahttp://id.shvoong.com/internet-and-technologies/1679555-file/#ixzz1b6bAuIqdhttp://asyafaat.files.wordpress.com/2009/01/forensik_0-_-90_1s.pdf