Informasi Timestamp Untuk Analisa Forensik

Saat melakukan analisis forensik terhadap sebuah Sistem Operasi, sangat penting bagi seorang analis atau investigator untuk memiliki pemahaman tentang berbagai format waktu yang ada di dalam Sistem Operasi. Karena banyak yang harus dianalisa mencakup masalah timestamp pada berbagai artefak digital, seorang analis harus dapat jika diminta untuk melakukannya selama kesaksian. Dalam beberapa kasus, analis gagal dalam hal menjelaskan “kapan” sebuah file dibuat atau dimodifikasi atau diakses karena kurangnya pengetahuan mengenai timestamp ini.

Perlu diketahui juga bahwa timestamp ini juga digunakan pada saat melakukan analisis timeline dalam digital forensic. Olehnya itu mari kita lihat hal apa saja yang dapat merubah timestamp pada sebuah file. Untuk melihat timestamp, sebenarnya kita bisa menggunakan utilitas yang ada pada system operasi. Namun pada kesempatan ini, saya mencoba menggunakan aplikasi Open All Files yang bisa didownload di App Store (sebagai informasi, saya menggunakan uji coba ini di Sistem Operasi berbasis Mac Sierra Verisoon 10.12.6 dengan spesifikasi MacBook Pro 2.6GHz, RAM 16GB).

No Kondisi File Created Modified Accessed Keterangan
1 Membuat file baru Jul 25 19:16:21 2017 Jul 25 19:16:22 2017 Jul 25 19:16:35 2017 Accessed Tidak sama dengan Created dan Modified
2 Merubah nama file Jul 25 19:16:21 2017 Jul 25 19:16:22 2017 Jul 25 19:19:30 2017 Accessed berubah, Created dan Modified tetap
3 Memindahkan file ke folder lain Jul 25 19:16:21 2017 Jul 25 19:16:22 2017 Jul 25 19:21:35 2017 Accessed berubah, Created dan Modified tetap
4 Mengcopy file Jul 25 19:16:21 2017 Jul 25 19:16:22 2017 Jul 25 19:23:01 2017 Accessed berubah, Created dan Modified tetap
5 Merubah isi file Jul 25 19:16:21 2017 Jul 25 19:24:20 2017 Jul 25 19:24:30 2017 Accessed dan Modified berubah, Created tetap
6 Mengakses sebuah file Jul 25 19:16:21 2017 Jul 25 19:24:20 2017 Jul 25 19:25:48 2017 Accessed berubah, Created dan Modified tetap
7 Memundurkan jam komputer, lalu mengcopy file Jul 25 19:16:21 2017 Jul 25 19:24:20 2017 Aug 25 14:29:08 2012 Accessed berubah, Created dan Modified tetap
8 Memundurkan jam komputer, lalu merubah isi file Jul 25 19:16:21 2017 Aug 25 14:30:18 2012 Aug 25 14:30:28 2012 Accessed dan Modified berubah, Created tetap

Dari hasil ujicoba yang dilakukan, terlihat waktu Created file tetap, walaupun jam computer sudah dimundurkan. Modified akan berubah saat isi file itu dilakukan pengubahan. Sedangkan Accessed akan berubah ketika ada kondisi pada file berupa membuka ataupun melakukan modifikasi. Kesimpulannya, pada system operasi Mac, waktu pada saat sebuah file dibuat tidak akan berubah walaupun dilakukan perubahan pada file dan perubahan system pewaktuan computer. Timestamp akan berubah pada saat file diubah isi filenya dan file tersebut diakses. Mungkin untuk system operasi lain seperti Windows ataupun linux, hasilnya akan berbeda.

Sebagai analis forensik, kita harus memiliki pemahaman tentang timestamps ini. Kita harus tahu bagaimana meneliti timestamps, mengetahui sistem operasi apa yang digunakan, sampai pada tahap menjelaskan hasil penyelidikan. Selamat belajar.

Referensi

  • http://www.forensicswiki.org/wiki/MAC_times
  • https://www.cybrary.it/0p3n/timestamp-information-forensic-analysis/
  • https://www.meridiandiscovery.com/articles/date-forgery-analysis-timestamp-resolution/

Leave a Reply