Suatu kelemahan dari analisis timeline forensic digital adalah mudah beruba dan sulit mempunyai nilai yang pasti. Oleh karena itu maka pada kesempatan ini coba kita melakukan percobaan yang berkaitan dengan perubahan timestamps pada setiap aksi dalam sebuah file. Agar dapat kita mengetahui aksi apa saja yang dapat merubah timestamps pada sebuah file. Dan kita akan mengacu pada tulisan tentang Mac Times pada Forensik Wiki.
Dalam tulisan tersebut telah dijelaskan bahwa timestamps pada sebuah file terdiri dari 3 macam yaitu Modified, Accessed dan Created.
- Modified merupakan timestamps yang digunakan untuk mencatat semua informasi yang berkaitan dengan kapan terakhir di modifikasi/diubah.
- Accessed merupakan timestamps yang digunakan untuk mencatat waktu terakhir file tersebut diakses/dibuka/dilihat
- Created merupakan timestamps yang digunakan untuk memcatat waktu file pada saat file itu dibuat pertama kali.
Selanjutnya apa yang akan terjadi jika kita melakukan beberapa aksi pada sebuah file, aksi apa saja yang dapa merubah timestamps pada sebuah file. Ok kita akan coba membuat percobaan dibeberapa system operasi dan berbagai versi system operasi. System operasi yang saya gunakan pada percobaan kesempatan ini adalah :
- Windows 10 Pro 64 Bit
- Windows Ultimate 64 Bit
- Windows Ultimate 32 Bit
- Kali Linux 64 Bit
Berikut ini hasil analisis Timestamps yang saya dapatkan :
Dari hasil analisis dan uji coba diatas kita dapat simpulkan bahwa suatu file yang kita buat dan kita memanipulasi artinya kita mengcopy, cat, edit, open, save as, dll itu semua dapat merubah timestamps dan ada juga yang tidak merubah timestamps, sebuah file dan setiap jenis sistem operasi akan berbeda hasilnya walaupun kita menggunakan dengan cara yang sama terhadap file yang kita analisis.
Demikian pembahasan kita kali ini.. semoga bermanfaat bagi pembaca.... 😆😆😆 sampai ketemu di postingan selanjutnya.!!
Referensi :
https://en.wikipedia.org/wiki/MAC_times
0 komentar :
Post a Comment