Anti-Forensics and the Digital Investigator

Forensik istilah yang signifikan dan cukup spesifik. Anti Forensik berkaitan dengan analisis ilmiah bukti pengadilan. Anti-forensik adalah seperangkat alat, metode, dan proses yang menghambat analisis tersebut.

Kategori metode Anti Forensik

Data Hiding merupakan data yang tersembunyi yang dapat dicapai dengan berbagai cara. Istilah lain untuk data hiding yaitu Steganography yang telah tersedia sejak tahun 1990-an. Stego adalah software yang tersedia untuk system operasi pada setiap computer. bentuk informasi digital dapat disimpan dalam banyak jenis file carrier, termasuk gambar, audio, video, dan file executable(StegoArchive.com, 2005)

Metode stego rendah teknologi dapat digunakan untuk menghambat computer forensic. Contohnya, seseorang bisa menyembunyikan gambar, table atau blok teks dibawah gambar dalam power point atau presentasi grafis.  blok teks putih di atas latar belakang putih dapat menyimpan pesan tersembunyi. Pesan kode Morse dapat tertanam dalam gambar.  Transmission Control Protocol / Internet Protocol (TCP / IP) suite, misalnya, memiliki beberapa kelemahan yang dapat dimanfaatkan untuk memungkinkan komunikasi rahasia. Tetapi semua data ini masih dapat ditemukan oleh tools-tools forensic dan sulit dijelaskan kepada orang yang tidak mengerti teknisnya.

Artefact Wiping merupakan program seperti SM Lap, Eraser, dan PGP Lap menghancurkan file data dengan cara menghapus dan menimpanya. Alat ini memungkinkan pengguna untuk memulihkan ruang penyimpanan dan melindungi privasi seseorang dengan menghapus file-file sementara yang tidak dibutuhkan yang dapat mengacaukan hard drive.  Artefact wiping membuat analisis yang lebih sulit bagi forensic pemeriksa.

Trail Obfuscation merupakan metode anti forensic yang penggunanya menyamarkan jejaknya dengan membuat jejak palsu sehingga membingungkan penyelidikan. Trail obfuscation dapat dicapai dengan mengubah log server atau file event system atau mengubah berbagai tanggal file.

Serangan Terhadap Forensik Alat Komputer

Identifikasi mengacu pada metode yang seorang penyidik ​​mengetahui bahwa ada beberapa kejadian untuk menyelidiki. Fase ini dapat dirusak oleh mengaburkan kejadian, atau menyembunyikan perhubungan antaraperangkat digital dan acara diselidiki.

Pelestarian menjelaskan langkah-langkah dengan mana integritas bukti dipertahankan. Fase ini dapat dirusak oleh mengganggu rantai pembuktian atau menelepon ke dalam keraguan integritas bukti diri.

Koleksi adalah proses dimana data dari media bukti diperoleh. Langkah ini dapat dirusak dengan membatasi kelengkapan data yang dikumpulkan atau menelepon ke pertanyaan hardware, software, kebijakan, dan prosedur dimana bukti dikumpulkan.

Pemeriksaan membahas bagaimana data bukti dipandang. Ini bagian dari proses dapat dirusak oleh menunjukkan bahwa alat itu sendiri tidak memadai, tidak lengkap, atau tidak valid secara ilmiah.

Analisis adalah sarana yang penyidik ​​menarik kesimpulan dari bukti. Fase ini bergantung pada alat, kecakapan investigasi dari pemeriksa, dan sisanya dari bukti yang ditemukan. Jika sebuah Kasus engsel hanya pada bukti digital, penafsiran bukti adalah bagian yang paling terbuka untuk menyerang.

Presentasi mengacu pada metode yang hasil investigasi digital disajikan dengan pengadilan, juri, atau fakta-pencari lainnya. Jika bukti sebaliknya padat, anti-forensik alat dan metode akan digunakan untuk menyerang keandalan dan ketelitian dari laporan - atau pemeriksa.

Menurut Daubert, hakim dapat menentukan diterimanya bukti ilmiah

berdasarkan empat faktor:

Pengujian: Dapatkah - dan memiliki - prosedur diuji?

Error Rate: Apakah ada tingkat kesalahan dikenal prosedur?

Publikasi: Apakah prosedur telah diterbitkan dan tunduk pada peer review?

Penerimaan: Apakah prosedur umum diterima dalam komunitas ilmiah yang relevan?

Aspek Tambahan Anti Forensik

The Metasploit Project

The Metasploit Project adalah sebuah kolaborasi open source dengan tujuan yang dinyatakan memberikan informasi kepada pengujian penetrasi, sistem deteksi intrusi pengembangan khusus, dan sistem informasi mengeksploitasi masyarakat, yang memiliki tujuan untuk menyelidiki kekurangan dalam forensik komputer alat, meningkatkan proses forensik digital, dan memvalidasi forensik alat dan proses. 

Satu output dari proyek ini telah Arsenal Investigasi Metasploit Anti-Forensik (MAFIA), suite program yang meliputi:

• Sam Juicer - Sebuah program yang memperoleh hash dari manajer NT Security Access (SAM) berkas tanpa menyentuh hard drive
• Slacker - Sebuah program untuk menyembunyikan file dalam ruang sepi dari file NTFS
• Transmogrify - "Kekalahan" file signature kemampuan deteksi EnCase dengan memungkinkan pengguna untuk menutupi dan membuka topeng file karena setiap jenis file
• Timestomp - Sebuah program yang mengubah keempat NT File System (NTFS) kali berkas: dimodifikasi, akses, penciptaan, dan memperbarui entri file (disebut MACE kali) 

Cryptography adalah alat anti forensic yang paling utama dan bukan hal yang baru. Aplikasi ini menggunakan enkripsi data. Tetapi pengguna kripto dapat melindungi file mereka dengan menggunakan sandi agar sulit dianalisa oleh forensic.

Pengguna / The User

Orang akan berasumsi bahwa ada kader pengguna yang akan mempekerjakan setiap alat dalam arsenal untuk membuat computer pemeriksaan sulit. Secara umum, ada hubungan linear antara kesulitan dalam menggunakan alat dan AF berapa banyak pengguna benar-benar memiliki untuk menyembunyikan. Seperti saat ini:

• Tidak setiap pengguna akan menginstal alat AF
• Tidak setiap pengguna yang menginstal alat AF akan menggunakannya secara konsisten, sehingga meninggalkan informasi yang dapat digunakan
• Tidak semua pengguna yang menggunakan alat AF akan menggunakannya dengan benar, yang akan meninggalkan informasi yang dapat digunakan
• Tidak semua alat AF bekerja sebagai sempurna seperti yang diiklankan, sehingga meninggalkan sisa-sisa dan jejak

Waktu Sensitif Anti-Forensik

Tujuan lain untuk anti-forensik mungkin untuk "melindungi" data tertentu sampai diperdebatkan. Daripada mencegah forensic analisis dari terjadi, mungkin cukup untuk rawa proses pemeriksaan bawah sampai data kehilangan nya pembuktian atau kecerdasan nilai.

Kesimpulan

Metode-metode yang ada, untuk memberikan bantuan kepada investigator dalam memecahkan masalah, walaupun tidak semua reliable, tetapi tidak mengurangi informasi dari barang bukti yang sedang di investigasi. Setiap metode memberikan tantangan tersendiri intuk investigator. Mungkin metode anti forensic membuat informasi yang diperoleh dari penyelidikan berguna sebagai bukti di pengadilan, tetapi mungkin tidak mengurangi nilai keraguan.

Computer Anti-forensics Methods and Their Impact on

Computer Forensic Investigation

Penghapusan Sumber

Pelestarian proses data yang bergantung pada pengamanan dari semua data yang ditemukan pada diperiksa mendorong terlepas dari ketepatan untuk penyelidikan. Pada tahap ini tugas utama adalah untuk hanya memperoleh gambar yang identik media dianalisis. Salah satu metode utama yang dapat diterapkan dalam tugas ini adalah untuk mencegah yang bersangkutan data yang diawetkan. Salah satu metode paling mudah dan efisien akan memblokir akses ke media; namun ketika peneliti memiliki izin untuk menyelidiki itu, langkah tersebut tidak mungkin.

Menyembunyikan Data

Pada tahap kedua dari proses komputer forensik, biasanya peneliti mengidentifikasi dan mengekstrak informasi yang dapat berhubungan dengan penyelidikan. Di panggung ini kontra alat forensik memiliki penggunaan terbesar. Dalam bertentangan dengan tahap sebelumnya, mereka melakukan tidak menghapus data yang relevan tapi menyembunyikannya dengan cara yang sangat sulit untuk menemukan contohnya. Penelitian tentang metode ini telah membedakan beberapa cara bagaimana data dapat tersembunyi di media digital.

Serangan Langsung terhadap Forensik Komputer Software

Salah satu cara utama untuk melakukan serangan terhadap perangkat lunak komputer forensik adalah untuk mantan ploit dan menggunakan kerentanan terhadap itu. Forensik komputer software, seperti yang lain program komputer, diciptakan oleh vendor perangkat lunak. Jika kredibilitas forensic software dimasukkan ke pertanyaan selama proses hukum, bukti yang ditemukan, mungkin dis terjawab karena tidak dapat diandalkan perangkat lunak. Saat ini ada dua cara utama sebagai bagaimana keandalan software forensik dapat dikompromikan

Bereksperimen dengan Anti Forensik

Tahap satu - untuk menyeka / alat penghapusan aman

Menguji apakah jejak data sebelumnya dihapus dapat terungkap

Menguji apakah data yang sebenarnya dapat dipulihkan

Tahap dua - bersembunyi teknik Data

Jumlah data potensial yang dapat dengan aman disembunyikan

Teknik diterapkan

Menguji apakah kehadiran data tersembunyi dapat terungkap

Menguji apakah data yang sebenarnya bisa dibaca

Tahap tiga - kredibilitas merusak perangkat lunak

Menguji apakah modifikasi waktu menginjak dapat terungkap

Menguji apakah nilai menginjak waktu asli dapat dipulihkan

Kesimpulan

Percobaan yang dilakukan membuktikan bahwa tidak semua teknik forensic terdistribusikan efisien dibandingkan dengan perangkat lunak forensic. Banyak kasus yang gagal menyembunyikan atau menghapus data yang penting.

Referensi 

Kessler, G.C. (2007, December). Anti-forensics and the digital investigator. In C. Valli & A. Woodward

(Ed.), Proceedings of the 5th Australian Digital Forensics Conference. Mt. Lawley, Western Australia:

Edith Cowan University.

Przemyslaw Pajek and Elias Pimenidis. Computer Anti-forensics Methods and Their Impact on Computer Forensic Investigation