Dalam
forensika digital timestamps(catatan waktu) merupakan informasi penting yang
dimiliki oleh sebuah file dikarenakan adanya unsur sebuah pembuktian terhadap
file metadata dari file tersebut. Setelah sebelumnya kita membahas tentang TimeLine Analisis sekarang kita akan membahas mengenai bagian dari Timeline yaitu Timestamps. Timestamps merupakan salah satu bagian dari
file meta-data yang dapat digunakan untuk menentukan urutan kejadian dan sifat
aktivitas di sistem. Dengan melakukan analisa terhadap timestamps dari sebuah
file kita dapat mengetahui apakah file tersebut asli/tidak atau telah mengalami
modifikasi.
Sebagian
besar sistem operasi memiliki tiga timestamps untuk setiap file pada sistemnya,
yang dikenal sebagai MAC (Modified, Accessed, Created) time:
a. Modified:
Mencatat
waktu kapan terakhir kali file tersebut dimodifikasi, yaitu ketika terakhir
disimpan.
b.
Access
Mencatat
waktu kapan terakhir kalinya file tersebut dibaca. Pada sebagian besar sistem
operasi ini hanya mencatat tanggal, bukan waktu secara lengkap ( jam , menit,
detik).
c. Created
Mecatat ketika file tersebut muncul untuk pertama kalinya pada sistem sebagai file
baru.
Pada
kesempatan kali ini , saya akan mencoba melakukan ujicoba terhadap perubahan
timestamps dengan tujuan untuk mengetahui perubahan apakah yang terjadi
terhadap informasi timestamps dari file tersebut bila kita melakukan beberapa
eksperimen dalam pengoperasian sebuah file.
Dibawah ini merupakan hasil dari
ujicoba yang telah saya lakukakan terhadap sebuah file yang bernama
UjiTimeStamps.docx .
|
No
|
Keadaan
File
|
Nama
File
|
Lokasi
|
Modified
|
Accessed
|
Created
|
Komentar
|
|
1
|
Membuat file baru
|
UjiTimeStamps.docx
|
E:\
|
6-12-2015
23:16:14
|
6-12-2015
23:16:14
|
6-12-2015
23:16:14
|
File
baru dibuat, semua time sama
|
|
2
|
Merubah nama file
|
UjiTimeStamps1.docx
|
E:\
|
6-12-2015
23:16:14
|
6-12-2015
23:16:14
|
6-12-2015
23:16:14
|
Merubah
nama file tidak membuat timestamps berubah
|
|
3
|
Memindahkan file ke folder lain
|
UjiTimeStamps1.docx
|
E:\Test\
|
6-12-2015
23:16:14
|
6-12-2015
23:16:14
|
6-12-2015
23:16:14
|
Memindahkan file tidak membuat
timestamps berubah
|
|
4
|
Memindahkan file ke partisi lain
|
UjiTimeStamps1.docx
|
F:\
|
6-12-2015
23:16:14
|
6-12-2015
23:18:55
|
6-12-2015
23:16:14
|
Memindahkan
ke partisi lain merubah time Accessed
|
|
5
|
Mencopy file
|
UjiTimeStamp1
- Copy.docx
|
F:\
|
6-12-2015
23:16:14
|
6-12-2015
23:20:32
|
6-12-2015
23:20:32
|
Mengcopy
file hanya time Modified yang tidak
berubah
|
|
6
|
Merubah isi file
|
UjiTimeStamps1
- Copy.docx
|
F:\
|
6-12-2015
23:22:07
|
6-12-2015
23:22:07
|
6-12-2015
23:20:32
|
Merubah
isi file hanya time Created yang tidak berubah
|
|
7
|
Mengakses sebuah file
|
UjiTimeStamps1.docx
|
F:\
|
6-12-2015
23:22:07
|
2-12-2015
1:22:07
|
6-12-2015
23:20:32
|
Jika
diakses setelah 1 jam dari Created maka
Accessed berubah tetapi jika diakses kurang
dari 1 jam maka accessed tidak berubah.
|
|
8
|
Memundurkan jam komputer, lalu meng-copy file
|
UjiTimeStamps1
– Copy2.docx
|
F:\
|
6-12-2015
23:22:07
|
6-12-2015
15:29:06
|
6-12-2015
15:29:06
|
Ternyata
sama dengan keadaan nomor 5, namun time Created dan Accessed ikut jam
komputer yang dimundurkan
|
|
9
|
Jam komputer lebih dimundurkan, lalu dirubah isi filenya
|
UjiTimeStamps1
– Copy2.docx
|
F:/
|
6-12-2015
10:43:26
|
6-12-2015
10:43:26
|
6-12-2015
15:29:06
|
Sama
dengan keadaan nomor 6, namun time Modified dan Accessed ikut mundur dengan
jam komputer
|
|
10
|
Jam komputer dimundurkan lagi, lalu
file dipindahkan kepartisi lain
|
UjiTimeStamps1
– Copy2.docx
|
E:/
|
6-12-2015
10:43:26
|
6-12-2015
5:49:21
|
6-12-2015
15:29:06
|
Jadi
semakin rusak timestamps dan semakin tidak beraturan
|
Dari
tabel diatas , saya melakukan 7 kali tindakan pengoperasian yang berbeda
terhadap sebuah file yang dapat mengubah timestamps dari sebuah file , dari 3
percobaan terakhir dapat kita lihat bahwa timestmaps pada sebuah file sangat
mudah dilakukan mofidikasi sehingga timeline dari sebuah file menjadi tidak
beraturan dan mengakibatkan proses analisa forensik digital terhadap sebuah
file menjadi lebih sulit untuk dilakukan.
Referensi
ForensicWiki. (2015). MAC times. Retrieved December 1, 2015,
from http://www.forensicswiki.org/wiki/MAC_times
Tidak ada komentar:
Posting Komentar