analisis kinerja metode live forensics untuk investigasi random

Tugas Akhir - 2012
ANALISIS KINERJA METODE LIVE FORENSICS UNTUK INVESTIGASI RANDOM
ACCESS MEMORY PADA SISTEM OPERASI MICROSOFT WINDOWS XP
Haryo Bintoro¹, Niken Dwi Cahyani², Endro Ariyanto³
¹Teknik Informatika, Fakultas Teknik Informatika, Universitas Telkom
Abstrak
Berkembangnya teknik enkripsi serta bertambahnya kapasitas media penyimpanan menyebabkan
penggunaan teknik foreksik tradisional tidak memadai lagi. Oleh karena itu sebagai
penggantinya digunakan teknik live forensics untuk melakukan investigasi. Investigasi
menggunakan teknik live forensics memerlukan perhatian khusus sebab data volatile pada RAM
yang dapat hilang jika sistem mati, serta kemungkinan tertimpanya data berharga yang ada pada
RAM oleh aplikasi yang lainnya. Karena itu diperlukan metode live forensics yang dapat
menjamin integritas data volatile tanpa menghilangkan data yang berpotensial menjadi barang
bukti.
Pada tugas akhir ini dilakukan perbandingan metode live forensics yang memiliki kemampuan
paling baik dalam melakukan live forensics. Kemampuan yang dimaksud adalah penggunaan
memory yang kecil untuk menghindari tertimpanya data yang ada pada RAM, tidak melakukan
perubahan pada file sistem, akurasi yang tinggi, waktu yang cepat serta jumlah langkah yang
dilakukan dalam menganalisis.
Hasil yang diperoleh adalah metode live forensics yang memiliki performa terbaik adalah metode
eksternal dengan ManTech sebagai tools akuisisi memory serta Volatility sebagai tools analisis
dengan penggunaan virtual memory sebesar 24,492 KB, working sets 1,388 KB, melakukan
penulisan pada registry sebanyak 8 key dengan akurasi 75% lalu waktu total yang digunakan 311
dan total langkah yang digunakan 22.
Kata Kunci : live forensic, tools, metode, windows xp, RAM, investigasi
Abstract
The growing of encryption techniques and the increase of storage capacity make the traditional
forensics are inadequate. Therefore as replacement used the live forensics to do the investigation.
It technique need special attention, because the volatile data on RAM is very fragile, it can be lost
if the system is dead, also there are posibilities of overwriting on the valuable data by the other
aplication. Therefore we need the method and live forensics tools that can ensure the integrity of
the volatile data without losing the potential evidence.
This thesis analyze and compare the method also live forensics tools that have the best
performance to do the live forensics analysis. It is mean the method and tools it must have small
memory footprint, does not change file system, high accuracy, fast and easy to use.
The result is the method and tools which have the best performance are the external method
using ManTech for the image acquisition tools and Volatility as the analysis tools. It use 24,492
KB of virtual memory, 1,388 KB working sets, write 8 keys on Windows registry with 75%
accuration, 311 second and 22 steps to finish the investigation.
Keywords : live forensics, tools, method, windows xp, memory, investigation
Fakultas Teknik Informatika
Powered by TCPDF (www.tcpdf.org)
Program Studi S1 Teknik Informatika
Tugas Akhir - 2012
1.
1.1
Pendahuluan
Latar belakang
Saat ini, komputer bukanlah barang mewah yang hanya dimiliki oleh
kalangan tertentu. Dengan semakin meluasnya penggunaan komputer, maka
peluang kejahatan yang melibatkan komputer, baik langsung maupun tidak
langsung pun semakin besar. Sekitar 65% pengguna komputer di dunia pernah
mengalami kejahatan komputer, dimana rata-rata kerugian individu sebesar USD
128 [11]. Bahkan pada tahun 2012 kerugian yang diakibatkan oleh satu kejahatan
komputer mencapai USD 298.359 [5]. Microsoft Windows XP merupakan salah
satu sistem operasi yang masih banyak digunakan oleh pengguna komputer di
dunia [14]. Oleh karena itu tidak kejahatan juga banyak menimpa pengguna
sistem operasi ini [13].
Untuk menanggulangi peristiwa tersebut selain dibutuhkan manajemen
keamanan
yang
bertujuan
untuk
mencegah,
diperlukan
pula
prosedur
penanggulangan apabila peristiwa sudah terlanjur terjadi, dimana salah satu
prosedur yang dilakukan adalah komputer forensik. Komputer forensik adalah
investigasi serta teknik analisis komputer yang melibatkan tahapan identifikasi,
persiapan, ekstraksi, dokumentasi dan interpretasi dari data yang ada di komputer
yang nantinya dapat berguna sebagai bukti dari peristiwa cyber crime [10].
Komputer forensik pada awalnya dilakukan dengan cara menganalisis
media penyimpanan dari sebuah sistem yang dicurigai telah terlibat dalam sebuah
tindak kejahatan, dimana biasanya sistem perlu dinonaktifkan kemudian dibuat
image kloning dari media penyimpanan sistem tersebut. Image inilah yang
dianalisis yang dapat digunakan sebagai barang bukti untuk keperluan investigasi
lebih lanjut [1].
Namun dengan semakin berkembangnya kapasitas penyimpanan dan
penggunaan enkripsi menyebabkan penggunaan teknik digital forensik dengan
metode tradisional mengalami kendala. Dengan permasalahan tersebut maka
dibutuhkan usaha yang lebih banyak serta waktu yang tidak singkat. Sehingga
dikembangkan teknik memory forensik atau biasa disebut live forensics dimana
1
Fakultas Teknik Informatika
Program Studi S1 Teknik Informatika
Tugas Akhir - 2012
investigator melakukan analisis terhadap data volatile yang terdapat pada memory
atau biasa disebut RAM (Random Access Memory) dari sebuah sistem.
Data volatile khususnya pada memory fisik atau RAM sebuah sistem
menggambarkan seluruh kegiatan yang sedang terjadi pada sistem tersebut [1].
Penanganan data volatile pada RAM harus hati-hati sebab selain datanya dapat
hilang jika sistem dimatikan, penggunaan tools akan meninggalkan footprint yang
kemungkinan dapat menimpa bukti berharga yang ada ada di dalam memory. Oleh
karena itu diperlukan metode live forensics yang dapat menjamin integritas data
volatile tanpa menghilangkan data yang berpotensial menjadi barang bukti.
Dengan kerawanan tersebut, ternyata telah banyak menginspirasi
developers untuk mengembangkan metode beserta tools yang dapat digunakan
untuk menganalisis sistem operasi Windows XP. Namun apakah semua metoded
dan tools yang telah diciptakan memang layak digunakan untuk melakukan
analisis forensics? Oleh karenanya diperlukan penelitian yang dapat memberikan
gambaran mengenai kinerja metode tersebut serta akan lebih baik jika bisa
memberikan rekomendasi metode terbaik yang dapat digunakan oleh investigator
dalam melakukan live forensics.
Penelitian dilaksanakan dengan melakukan pengujian metode pada sistem
yang sudah disesuaikan dengan skenario kasus serangan yang sering terjadi. Dari
hasil pengujian nanti diharapkan dapat diketahui performa dari metode berupa
akurasi, kecepatan, kemudahan serta besar memory footprint dan artifak yang
tertinggal di sistem yang dianalisis.
1.2
Perumusan masalah
Permasalahan yang akan dibahas pada tugas akhir ini adalah
1.
Bagaimana melakukan analisis terhadap data volatile yang berpotensi
sebagai barang bukti untuk proses investigasi pada sistem operasi
Windows XP.
2.
Seperti apakah performa dari metode live forensics terhadap variasi
skenario kasus yang diujikan serta adakah metode beserta tools terbaik
yang dapat digunakan di semua macam kasus.
2
Fakultas Teknik Informatika
Program Studi S1 Teknik Informatika
Tugas Akhir - 2012
1.3
Batasan Masalah
Terdapat beberapa batasan masalah dalam penelitian ini, sehingga
diharapkan pengkajian tidak terlalu meluas yang antara lain adalah:
1.
Penanganan kasus dilakukan pada sistem operasi Windows XP 32 bit SP 3
yang berjalan pada mesin virtual VMware® Workstation 8.0.4
2.
Memory footprint dari monitoring tools diabaikan
3.
Tidak membahas secara mendalam cara kerja malware dan tools
penyerang
4.
Tidak menganalisis penggunaan memory address
5.
Tools yang digunakan berharga gratis
1.4
Tujuan
Dari penelitian yang akan dilakukan, diharapkan tercapai beberapa tujuan
berikut ini
1.
Menganalisis dan membandingkan performansi metode live forensics
beserta tools berdasarkan besar memory footprint, banyak artifak digital
yang ditinggalkan,
waktu yang digunakan,
banyaknya langkah yang
diambil serta akurasinya.
2.
Rekomendasi metode live forensics beserta tools terbaik yang digunakan
dalam melakukan investigasi berdasarkan jenis kasus dilihat hasil
pengujian parameter yang ada.
1.5
Hipotesis
Pada tugas akhir ini dikemukakan hipotesis sebagai berikut
“Metode live forensics yang memiliki performa terbaik adalah metode
Eksternal dengan tools Memoryze sebagai tools akuisisi memory dan Volatility
sebagai tools analisis”
1.6
Metodologi penyelesaian masalah
Dalam penyelesaian masalah pada tugas akhir ini digunakan metodologi
sebagai berikut:
1.
Studi literatur
Pembahasan teoritis melalui studi literatur yang berhubungan dengan dasar
digital forensik dan live forensics dengan membaca buku Computer
3
Fakultas Teknik Informatika
Program Studi S1 Teknik Informatika
Tugas Akhir - 2012
Forensics
JumpStart karangan Michael Solomon dan Computer
Forensics dari Lori Willer, Microsoft Windows Internals 4th Edition
sebagai referensi untuk manajemen memory pada sistem operasi Microsoft
Windows XP, cara kerja virus, worm dan trojan bersumber dari buku
Malware Forensics Investigating and Analyzing Malicious Code
karangan James Aquilina, serta berbagai macam paper yang berhubungan
dengan digital forensics.
2.
Perancangan
Perancangan sistem dengan membuat skenario kasus pada mesin virtual.
Skenario kasus merupakan beberapa macam dari berbagai macam jenis
cyber crime yang ada di dunia. Dilakukan juga perancangan instalasi tools
monitoring, metode akuisisi memory serta metode analisis sistem.
3.
Pengujian dan analisis
Pengujian dilakukan dengan jalan menggunakan tools yang ada pada kasus
yang sudah ditentukan. Tools dijalankan pada skenario kasus kemudian
hasil kinerja tools dicatat untuk nantinya digunakan untuk analisis
performa. Menganalisis data hasil pengujian dengan membandingkan hasil
dari pengujian tools.
4.
Penulisan laporan
Mengumpulkan hasil dari seluruh tahapan kemudian menyimpulkan hasil
akhir penelitian.
4
Fakultas Teknik Informatika
Powered by TCPDF (www.tcpdf.org)
Program Studi S1 Teknik Informatika
Tugas Akhir - 2012
5.
5.1
Kesimpulan dan Saran
Kesimpulan
1. Metode terbaik untuk melakukan live forensics adalah metode eksternal
karena memory footprint dan artifak yang ditinggalkan lebih sedikit serta
akurasi pada worst case yang lebih tinggi dibandingkan metode internal
2. Tools terbaik untuk melakukan live forensics berdasarkan metode analisis
eksternal adalah ManTech untuk tools akuisisi dan Volatility sebagai tools
analisis.
5.2
Saran
1. Dapat dilakukan percobaan apakah metode dari hasil kesimpulan
memberikan hasil yang serupa apabila dilakukan pada kasus yang lainnya.
2. Menggunakan metode serta tools komersial yang ditawarkan perusahaan
jasa keamanan dan membandingkan hasilnya dengan metode dan tools
terbaik berdasarkan kesimpulan
3. Pengujian dapat dilakukan dengan menggunakan mesin fisik, sehingga
dapat diketahui apakah perbedaan spesifikasi mesin berpengaruh terhadap
performa
48
Fakultas Teknik Informatika
Powered by TCPDF (www.tcpdf.org)
Program Studi S1 Teknik Informatika
Tugas Akhir - 2012
Daftar Pustaka
[1]
Adestein. Frank, 2006, “Live Forensics – Diagnosing Your System Without
Killing It First ”, Communication of The ACM February 2006/Vol 49.
[2]
Aquilina. James, 2008, “Malware Forensics Investigating ang Analyzing
Malicious Code”, Syngress.
[3]
Indrajit. Richardus Eko. “Forensik Komputer”, IDSIRTI. Tersedia di
http://www.idsirtii.or.id. Diunduh pada tanggal 28 Juni 2012.
[4]
Lessing. Marthie, Solms. vonBasie, 2008, “Live Forensic Acquisition as
Alternative
to
Traditional
Forensic
Tersedia
Processes”.
di
http://researchspace.csir.co.za/. Diunduh pada tanggal 27 Juni 2012.
[5]
Ponemon Institute, 2012, “The Impact of Cybercrime on Business”. Tersedia di
http://www.security-finder.ch/. Diunduh pada tanggal 26 Juni 2012.
[6]
Russinovich.
Mark,
Margosis.
Aaron,
2011,
“Windows
SysInternals
Administrator’s References”, Redmond, Microsoft Press.
[7]
Russinovich. Mark, Solomon. David, 2005, “Microsoft Windows Internals 4th
Edition”, Redmont, Microsoft Press.
[8]
Ryder. Karen, 2002, “Computer Forensics – We’ve Had an Incident, Who Do
We Get to Investigate?”, SANS Institute Reading Room. Tersedia di
http://www.sans.org/reading_room/ . Diunduh pada tanggal 19 Juni 2012.
[9]
Shinder. Debra, 2002, “Cybercrime Computer Forensics Handbook”,
Rockland, Syngress Publishing.
[10]
Solomon. Michael, Barrett. Diane, Broom. Neil, 2005, “Computer Forensics
Jumpstart”, Alameda, SYBEX Inc.
[11]
http://www.cybercrimeswatch.com/cyber-crime/cyber-crime-statistics.html.
Diakses pada tanggal 20 Juni 2012.
[12]
http://www.netmarketshare.com/report.aspx?qprid=10&qptimeframe=M&qpsp
=154. Diakses pada tanggal 20 Juni2012.
[13]
http://www.theregister.co.uk/2004/10/22/security_report_windows_vs_linux/#s
ingleuser. Diakses pada tanggal 20 Juni 2012.
[14]
http://www.w3schools.com/browsers/browsers_os.asp. Diakses pada tanggal
21 Juni 2012.
49
Fakultas Teknik Informatika
Powered by TCPDF (www.tcpdf.org)
Program Studi S1 Teknik Informatika