DISKCOPY
Diskcopy merupakan tool forensik
dengan dasar program MS-DOS yang dipergunakan oleh ahli forensik agar dapat
bekerja dengan baik dan tidak mengubah data. Diskcopy juga merupakan Tool kit
yang memungkinkan untuk mengumpulkan dan analisis data. Karena ahli hukum
percaya bit lebih mudah dipalsukan daripada kertas, maka aturan utamanya adalah
“preserve then examine”.
Diskcopy sangat diperlukan untuk
melakukan eksplorasi suatu media dan menemukan data yang relevan. Juga agar
dapat melihat dan mengelola semua bukti pada hardisk.
File Carving
Akan memungkinan merecovery file dari
file system yang informasi partisinya sudah rusak atau volumenya sebagian
telah di reformat. Ini dapat dilakukan melalui tehnik bernama data carving atau
file carving, di mana sebuah program mencari sejenis file tertentu dengan
mencari pola jenis file tertentu
Satu hal menarik dari teknik ini adalah
ia berjalan serba otomatis: kita hanya menunjukan partisi atau tempat partisi
berada, kemudian memilih tempat untuk merstore file, dan memungkinkan program
melakukan tugas beratnya.
Pencipta TestDisk telah menciptakan tool
istimewa file carving bernama PhotoRec, yang merecovery format file umum
dibanyak media.
Setting default PhotoRec bekerja baik,
namun kamu jika kamu membutuhkan control, ada sejumlah opsi yang dapat diset
Paranoid Mode, normal disabled, merecover segala sesuatu termasuk pecahan file
korup – jika kamu mengaktifkannya.
Kamu akan mendapat lebih banyak data
yang dapat di recovery, tetapi proses recovery lebih lama. Kamu juga bisa
memilih, Keep corrupted files akan merecovery file yang tidak sepenuhnya
terbaca dengan harapan user dapat menyelamatkan sebagian di lain hari, mungkin
dengan hex editor atau tool lain
Perlu di ingat pula, file yang di
recovery dengan PhotoRec tidak mempunyai nama seperti nama file aslinya, tetapi
metadata internal (misalnya MP3 tag atau data EXIF) masih ada. Perlu dicatat
pula jika kamu mencari jenis file spesifik dalam file system relatif kecil,
kamu dapat menggunakan opsi internal yang ada di program untuk menyempitkan
pencarian dan tidak membuang waktu recovery.
TestDisk dan PhotoRec keduanya
disertakan secara default di Partedmagic, karenanya ini care termudah mendapatkan
keduanya dan membuat bekerja langsung – namun kamu dapat pula mendownload
keduanya sebagai program terpisah dan menggunakannya seperti biasa. Keduanya
juga di integrasikan ke BartPE; kamu juga bisa memount mereka di removable
drive, booting Vista installation DVD (jika kamu memilikinya), masuk ke System
Recovery command Line, dan jalankan program dari sana.
Lanjut ke materi selanjutnya di blog :
Materi Pertama : Disk Forensik Habibi
Materi kedua : File System Rahmat
Materi ketiga : Tipe File System Myca
Materi keempat : Metadata R Bagus
Materi Kelima
: Fungsi Metadata Fajar Tamimi
Materi Keenam : Ada disini
Materi Ketujuh : Gerhana
