Selasa, Januari 17, 2012

Settting IP pada Linux ubuntuOS dengan virtual

Pada pertemuan pertama kali ini kita akan melakukan setting IP address pada linux dengan menggunakan virtualbox. Untuk  kali ini kita akan melakukan koneksi 2 buah PC dengan asumsi PC 1 (Host OS) di install dengan system Operasi Ubuntu 9.10 koala Karmic dan PC 2 (Guest OS virtualbox) yang juga di install dengan system operasi yang sama yaitu Ubuntu 9.10 Koala Karmic.
    Pertama-pertama yang kita lakukan yaitu installasi virtualbox kemudian dilanjutkan dengan proses installasi ubuntu 9.10 pada virtualbox. Tampilan virtualbox yang sudah terinstall OS Ubuntu sebagai berikut

 


    Sebelum kita menjalankan system operasi pada virtualbox, kita setting virtualbox sesuai dengan kebutuhan, untuk kali ini kita akan mencoba melakukan koneksi antara Host OS dengan Guest OS, untuk itu kita perlu melakukan setting pada network sebagai berikut. Langkah pertama klik Tombol Setting pada virtual box kemudian pada window baru pilih Network, pada tab Adapter 1 ubah Attached to dengan pilihan Host-only Adapter setelah itu klik OK.

    Setelah konfigurasi selesai barulah klik start pada Virtualbox untuk menjalankan Guest OS. Setelah masuk pada Guest OS kemudian kita setting IP address dengan menggunakan perintah pada terminal. Untuk melakukan setting IP address menggunakan perintah

~$ sudo ifconfig NIC ip_address netmask netmask_address

Untuk percobaan  IP:
Alamat 192.168.56.11
Netmask addres 255.255.255.0

~$ sudo ifconfig eth0 192.168.56.111 netmask 255.255.255.0

Untuk melakukan pengecekan ip address

~$ ifconfig NIC
atau
~$ ifconfig

Perbedaan dari perintah diatas hanya terletak pada output yang ditampilkan, jika pada perintah ifconfig kita mengikut sertakan NIC maka output yang ditampilkan hanya berupa informasi configurasi pada NIC yang diinginkan saja, sedangkan jika kita tidak menambahkan NIC pada perintah ifconfig maka semua NIC akan ditampilkan semua informasi dari NIC yang dimiliki.


    Pada host OS secara default IP address untuk koneksi ke Guest OS pada virtualbox sudah otomatis tersetting. Untuk mengecek alamat IP address untuk koneksi ke virtualbox mengguakan perintah yang sama yaitu ifconfig

    Dapat kita lihat pada output diatas NIC untuk koneksi ke virtual box yaitu vboxnet0 dengan default alamat IP 192.168.56.1. Jika kita ingin merubah alamat IP tersebut kita bias menggunakan perintah yang sama seperti pada konfigurasi IP di Guest OS.
~$ sudo ifconfig NIC ip_address netmask netmask_address

Kemudian untuk mengecek apakah Host OS dan Guest OS sudah terhubung atau belum, kita gunakan perintah ping

~$ ping alamat_IP_tujuan

Pada host OS alamat IP yang kita ping adalah alamat IP pada Guest OS (virtualbox)
    Dari kedua output hasil ping dapat dilihat paket yang berhasil dikirim dan paket yang gagal terkirim serta waktu rata-rata yang dibutuhkan pada proses tersebut.

    Jika kita ingin membuat koneksi antar OS virtualbox dalam suatu jaringan maka kita perlu mengubah setting Network pada virtualbox tetapi terlebih dahulu kita harus mematikan OS pada virtualbox yang sedang berjalan, baru kemudian kita pilih Setting  Netwok dan pada Adapter 1 kita ubah Attached to menjadi Bridged Adapter.
 
selajutnya kita jalankan kembali virtualboxnya, setelah masuk kedalam Guest OS barulah kita setting IP address seperti pada langkah sebelumya, dengan menggunakan perintah ifconfig.

Peluang Bisnis Komodo sebagai New 7 Wonders

Pulau komodo sekarang menjadi salah satu kebanggaan bagi masyarakan Indonesia karena sudah terpilih sebagai 7 keajaiban di dunia, yang pasti bisa menambah deposit penghasilan negara karna kedatangan para turis manca negara.

 Sebelum memikirkan keuntungan yang datang ada beberapa hal penting yang harus di perhatikan oleh pemerintah RI yaitu kebersihan dan keamanan pada turis lokal atau turis luar negri, agar warga setempat bekerja sama dengan pemerintah meningkatkan keamanan di pulau tersebut dengan kata lain mengurangin pengangguran di negara ini. Selain menjaga keamanan dan kebersihan masyarakat setempat bisa membuka toko-toko souvenir bisa berupa baju khas pulau komodo, pernak-pernik, penyedia jasa foto, membuka penginapan, maupun membuka restoran.

Keuntungan bukan hanya untuk warga setempat, warga diluar pulau trsebut juga bisa menjadikan ini peluang bisnis dengan cara berdangan maupun penyedia jasa via Online yang sekarang marak-maraknya di duniamaya.

FREEZING THE SCENE part 3

Pemrosesan Barang Bukti
Terdapat perdebatan dalam komunitas forensik untuk melakukan plug suatu sistem, misalnya apakah diperlukan untuk mematikan mesin. Sistem operasi bersangkutan akan merupakan kuncinya. Jika ada suatu usaha compromise atau penyusupan, penyelidikan diarahkan pada proses yang ada di memori, sistem file yang dipetakan melalui jaringan, koneksi mencurigakan lainnya pada host tersebut dan port apa yang sedang dipergunakan.
Panduan umum pemrosesan barang bukti berikut diambil dari :
  • Shut down computer perlu dipertimbangkan kerusakan proses yang berjalan di background.
  • Dokumentasikan konfigurasi hardware dari sistem: perhatikan bagaimana komputer di set up karena mungkin akan diperlukan restore kondisi semula pada tempat yang aman.
  • Pindahkan sistem komputer ke lokasi yang aman.
  • Buat backup bit dari hard disk dan floppy.
  • Uji otentifitas data pada semua perangkat penyimpanan.
  • Dokumentasikan tanggal dan waktu yang berhubungan dengan file computer.
  • Buat daftar keyword pencarian karena terdapat tool forensik yang bisa dipergunakan untuk pencarian informasi yang relevan.
  • Evaluasi swap file.
  • Evaluasi file slack, terdiri dari dump memori yang terjadi selama file ditutup.
  • Evaluasi unallocated space (erased file). Fungsi undelete di DOS bisa dipergunakan untuk melakukan restore
  • Pencarian keyword pada file, file slack, dan unallocated space
  • Dokumentasikan nama file, serta atribut tanggal dan waktu
  • Identifikasikan anomali file, program dan storage
  • Evaluasi fungsionalitas program untuk mengetahui kegunaannya
  • Dokumentasikan temuan dan software yang dipergunakan
  • Buat copy dari software yang dipergunakan
Merupakan keputusan sulit berespon pada insiden sedemikian agar tidak mengakibatkan korupsi data. Hal ini sangat bergantung pada sistem operasinya. Karena barang bukti bisa berada pada file tapi bisa juga pada file slack, erased atau swap. Misal pada Windows saat start akan membuka file baru yang menyebabkan overwrite data sebelumnya.
Berikut adalah lima tahapan pemrosesan barang bukti. Asumsinya di sini adalah semua ijin untuk mempergunakan mesin (PC, Server, Tape, dan lainnya) sudah dimiliki secara hukum:

1. Persiapan
Sebelum penyelidikan, pastikan persiapan yang diperlukan. Beberapa panduan:
  • Sterilkan semua media dari virus.
  • Pastikan semua tool forensik bisa dipergunakan secara resmi.
  • Periksa kerja semua peralatan lab
  • Pilih ahli forensik yang tepat yang mampu memberikan kesaksian dan penjelasan yang baik pada persidangan. Misal untuk menerangkan hal-hal teknis yang asing bagi orang lain.
2. Snapshot
Beberapa panduan:
  • Foto lingkungan
  • Catat rinciannya.
  • Foto barang bukti, misal monitor dan PC.
  • Dokumentasikan konfigurasi hardware
  • Labeli barang bukti sesuai metodologi anda
  • Foto barang bukti lagi setelah dilabeli
  • Dokumentasikan apa yang terjadi

3. Transport
Dengan asumsi ijin resmi sudah diperoleh, tindakan untuk transportasi adalah:
  • Lakukan pengemasan dengan aman.
  • Foto dan dokumentasikan penanganan barang bukti meninggalkan tempat transport sampai ke lab pengujian .

4. Persiapan
Berikut adalah persiapan untuk uji lab:
  •  Lakukan unpack sesuai metodologi.
  • Lakukan uji visual dan catat setiap konfigurasi yang tidak semestinya.
  • Buat image dari hard disk. Hal yang penting untuk diingat:
    • Matikan software virus scanning
    • Catat waktu CMOS (Complementary Metal Oxide Semiconductor). Hal ini perlu dilakukan khususnya saat zona waktu dibutuhkan. 
    • Anda bisa membuat image dengan banyak cara 
    • Catat bagaimana image dibuat 
    • Pastikan tool untuk image tidak mengakses sistem file dari media bukti.
  • Setelah membuat image simpan barang bukti di tempat aman dan catatlah.
  • Merupakan hal yang baik untuk membuat image kedua.

5. Pengujian
Ini merupakan tahapan analisis barang bukti dari berbagai media (Floppy, hard drive, tape), dan sistem operasi (Linux, Windows). Mesin yang digunakan untuk melakukan analisa seharusnya adalah stand alone dan tidak terhubung dalam jaringan, sehingga memastikan tidak ada orang lain yang mengaksesnya.

Analisis forensik dilakukan pada dua level :
  • Level fisik, di mana ingin dilihat cluster dan sektor tertentu untuk mencari informasi. Tabel master atau file allocation table biasanya disebut system area.
  • Level lojik, misalkan gambar yang nampak sebagai rangkaian heksadesimal.

Karena tidak bisa sepenuhnya mempercayai bukti apapun, maka harus diperhitungkan rangkaian kepercayaan (chain of evidence) berikut :
  1. Shell (termasuk variabel environment)
  2. Command
  3. Dynamic libraries
  4. Device driver
  5. Kernel
  6. Controller
  7. Hardware

Melacak Sumber Program Perusak
Hal yang menarik bagi pelaku penyusupan kejahatan dan komputer adalah faktor anonimitas, artinya pembuat virus, trojan, atau pelaku compromise tidak merasa khawatir akan dikenali. Di sisi lain, insiden penyusupan virus, worm, trojan dan cracker kadang meninggalkan potongan program. Bisakah dengan peninggalan tersebut diidentifikasi sumbernya? Peninggalan dari serangan tersebut bisa berupa source program, kode object, shell script, perubahan pada program yang ada, atau file teks yang dibuat oleh penyusup. Hal tersebut bisa dipergunakan untuk mengidentifikasi sumber dari serangan, serupa dengan analisis tulisan tangan yang dilakukan oleh aparat hukum untuk mengenali penulis suatu dokumen. Hal ini biasa disebut forensik perangkat lunak. Forensik perangkat lunak bisa dilakukan pada :
  • Kode executable. Biasanya dilakukan pada virus atau worm. Sayangnya banyak feature yang bisa berguna dalam analisis telah terhapus, misalkan komentar, identasi dan identifier. Optimisasi juga dilakukan sehingga program telah berbeda dengan program semula. Beberapa feature yang masih bisa dipertimbangkan di antaranya:
    1. Algoritma dan struktur data: Pilihan algoritma dan struktur data bisa menunjukkan background dari pembuat
    2. Kompilator: Dalam kasus virus bisa ditentukan bahasa pemrogramannya dan dari vendor mana, karena rutin-rutin dan library yang dipergunakan
    3. Pengetahuan pemrograman: Bisa dilihat tingkat kemampuan pemrogram dari penggunaan fungsi dan error checking semacam exception handling
    4. Pilihan system call
    5. Kesalahan: Beberapa programmer membuat kesalahan serupa pada program-programnya
  • Kode Sumber. Ini mampu memberikan informasi yang lebih banyak. Beberapa feature yang bisa dianalisis:
    1. Bahasa: Menunjukkan pengetahuan dan ketersediaan pada pemrogram
    2. Format: Biasanya konsisten, misal identasi dan deklarasi
    3. Komentar
    4. Nama variabel
    5. Ejaan: Ada pemrogram yang melakukan kesalahan eja secara tetap
    6. Feature bahasa: Beberapa pemrogram lebih suka menggunakan pilihan tertentu, misal antara perulangan for dengan repeat until atau while
    7. Scope: pemilihan variabel lokal dan global
    8. Jalur eksekusi: adanya kode yang tidak pernah dieksekusi
    9. Bug: Kesalahan serupa yang dibuat dalam program-programnya

Analisis Unknown Program
Untuk mempelajari perilaku suatu program yang tidak kita ketahui sumber dan kegunaannya terdapat beberapa cara:
  1. Analisis statik: Mempelajari program tanpa benar-benar mengeksekusinya. Tool yang dipergunakan adalah dissasembler, decompiler, tool analisis kode sumber, dan tool dasar semacam grep. Dalam kenyataannya bisa memberikan suatu gambaran pendekatan mengenai program.
  2. Analisis dinamik: Mempelajari program saat dieksekusi. Tool yang dipergunakan adalah debugger, tracer, emulator mesin, analisis logika dan terkadang sniffer jaringan. Keuntungan dari analisis dinamik adalah cepat dan akurat. Kasus khusus dari analisis dinamik adalah analisis kotak hitam (black box), yaitu analisis dinamik tanpa mengakses internal program. Dalam kasus ini, pengamatan dilakukan pada input dan output eksternal, serta karakteristik pewaktuannya. 
  3. Analisis postmortem: Mempelajari perilaku perangkat lunak dengan mengamati dampak setelah eksekusi program. Bisa jadi ini merupakan satu-satunya alat yang tersedia setelah penyusupan sistem.

Analisis dinamik harus dilakukan sehingga tidak menimbulkan kerusakan yang berbahaya, sehingga eksekusi program bisa dijalankan pada :
  1. Mesin “percobaan” tanpa koneksi jaringan
  2. Mesin dengan sandbox Virtual Machine

Untuk memantau kemajuan (progress) suatu program, pengamatan bisa dilakukan dengan cara:
  • Pengamatan pada level instruksi mesin
  • Pengamatan system call yang dipergunakan
Suatu mesin yang mengalami compromise tidak akan bisa dipercaya, dan semua informasi yang berasal dari mesin tersebut perlu diragukan. Perubahan pada suatu program aplikasi dan file data mudah dideteksi jika diketahui file mana yang mengalami perubahan. Perubahan pada proses yang berjalan lebih susah dideteksi, begitu pula dengan perubahan pada level kernel sistem operasi, atau bahkan perubahan pada tingkat di bawah level kernel.


Terimakasih kepada teman-teman dari 4ia05  sebagai sumber makalah ini
softnya silahkan download disini

FREEZING THE SCENE part 2

Sejarah Forensik
  • Francis Galton (1822-1911) : sidik jari;
  • Leone Lattes (1887-1954) : Golongan darah (A,B,AB & O)
  • Calvin Goddard (1891-1955) : senjata dan peluru (Balistik)
  • Albert Osborn (1858-1946) : Document examination
  • Hans Gross (1847-1915) : menerapkan ilmiah dalam investigasi criminal
  • FBI (1932) : Lab.forensik.
Tujuan Digital Forensik
Tujuaan dari digital forensik adalah untuk menjelaskan seputar digital artefak yakni sistem komputer, media penyimpanan (harddisk atau CD-ROM), dokumen elektronik (E-mail atau gambar JPEG) atau paket – paket data yang bergerak melalui jaringan komputer.

Barang Bukti Digital Sebagai Alat Bukti Sah
Menurut Pasal 5 UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (UU ITE) menyebutkan bahwa “informasi elektronik dan atau dokumen elektronik dan atau hasil cetaknya merupakan alat bukti hukum yang sah”

Bukti Digital / Elektronik
Menurut  Eoghan Casey :
“Semua barang bukti informasi atau data baik yang tersimpan maupun yang melintas pada sistem jaringan digital, yang dapat dipertanggungjawabkan di depan pengadilan”
Menurut Scientific Working Group on Digital Evidence :
“Informasi yang disimpan atau dikirimkan dalam bentuk digital”
Contoh barang bukti digital : alamat E-Mail, wordprocessor/spreadsheet files, source code dari perangkat lunak, files bentuk images (JPEG, PNG, dll), web browser bookmarks, cookies serta kalender dan to do list

Penanganan Barang Bukti Digital

Penanganan barang bukti digital perlu dilakukan secara khusus mengingat barang bukti digital tergolong rapuh sehingga sangat besat kemungkinan terjadinya pencemaran barang bukti digital baik disengaja maupun tidak disengaja. Kesalahan kecil pada penanganan barang bukti dapat membuat barang bukti digital tidak dapat diajukan dipengadilan sebagai alat bukti yang sah dan akurat.

Ahli forensik bisa mengidentifikasikan penyusupan dengan mengetahui apa yang harus dicari, dimana, dan bukti lain yang diperlukan. Informasi harus mencukupi untuk menentukan apakah upaya penegakan hukum harus disertakan. Proteksi barang bukti merupakan suatu hal yang krusial. Barang bukti tidak boleh rusak atau berubah selama tahapan dan proses recovery dan analisis, juga diproteksi dari kerusakan virus dan mekanis/elektromekanis. Proses harus dilakukan secepat mungkin setelah insiden supaya detilnya masih terekam baik oleh mereka yang terlibat. Hal itu bisa dimulai dengan catatan secara kronologis. Misalnya tentang tanggal, jam, dan deskripsi komputer. Bila menganalisa server mungkin akan diperiksa event log. Karena user bisa mengubah waktu dengan mudah, perhatikanlah bagaimana kecocokannya dengan kronologi kejadian. Buka komputer dan lihat apakah ada lebih dari satu hard disk, catat peripheral apa yang terhubung, termasuk nomor seri hard disk. Beberapa ancaman terhadap barang bukti :
  • Virus – Bisa mengakibatkan kerusakan atau perubahan file.
  • Prosedur cleanup – Adanya program atau script yang menghapus file saat komputer shutdown atau start up.
  • Ancaman eksternal, misal dari lingkungan yang tidak kondusif sehingga merusak data. Seperti tempat yang terlalu panas, dingin, atau lembab.

Prinsip Kerja Forensik Digital
  1. Menurut Pavel Gladyshev prinsip kerja dari forensik digital adalah :Pemeliharaan (“Freezing the Crime Scene”) Mengamankan lokasi dengan cara menghentikan atau mencegah setiap aktivitas yang dapat merusak atau menghilangkan barang bukti.
  2. Pengumpulan. Menemukan dan mengumpulkan semua barang bukti digital atau hal – hal yang dapat menjadi barang bukti atau informasi apa saja yang masih bersangkutan dengan kasus yang sedang diselidiki.
  3. Pemeriksaan. Menganilisis barang bukti yang ada dan mencari data sebanyak – banyaknya yang berhubungan dengan kasus. Tahap ini adalah penentuan apakah pelaku kejahatan bisa tertangkap atau lolos dari jeratan hukum.
  4. Analisis. Menyimpulkan bukti – bukti yang dikumpulkan selama proses penyelidikan.
pemeriksaan yang dilakukan oleh petugas yang tidak berpengalaman dan tidak mengerti forensic digital (prosedur forensic digital), hampir dapat dipastikan akan menghasilkan bukti yang tidak hampir pasti menghasilkan bukti yang tidak dapat diterima di pengadilan hukum.

Tantangan Forensik Digital
Dalam mengumpulkan bukti forensik digital, banyak tantangan – tantangan yang harus dihadapi oleh para penyidik seperti :
  • Bagaimana menangani kasus yang melibatkan media perangkat digital
  • Bagaimana menemukan bukti dari web browser secara forensik suara
  • Bagaimana menganalisis bukti dalam segala kondisi berbeda baik secara perangkat maupun system
  • Bagaimana melacak dan mendapatkan pelaku (tak menutup kemungkinan si pelaku adalah orang dalam)
  • Bagaimana mengidentifikasi dan menyelidiki kasus – kasus seperti spionase korporasi
  • Bagaimana melakukan investigasi network logs guna melacak dan mengadili penjahat cyber

Judd Robbins dari “An Explanation of Computer Forensics” mensyaratkan hal berikut:
  • Barang bukti tidak rusak atau terpengaruh oleh prosedur yang dipergunakan untuk penyelidikan.
  • Tidak terinfeksi virus komputer selama proses analisis.
  • Bukti-bukti yang relevan dan ekstraksinya, ditangani dan dilindungi dari kerusakan mekanis atau elektromekanis lebih jauh.
  • Penerapan pemeliharaan
  • Membatasi dampak pada operasi bisnis
  • Semua informasi client yang diperoleh selama eksplorasi forensik dihargai secara etis dan tidak diumumkan.

Beberapa faktor yang tidak berkaitan secara fisik dengan barang bukti :
  1. Rangkaian pemeliharaan – Merupakan rekaman penanganan barang bukti dari penyitaan sampai di bawa ke pengadilan. Dokumentasinya harus menyatakan siapa, apa, di mana, kapan, mengapa dan bagaimana. Lebih rinci hal itu akan lebih baik.
  2. Batasan waktu bisa sangat krusial pada beberapa penyelidikan. Khususnya kasus yang melibatkan kehidupan manusia. Misalkan saja bila bukti yang ada berkaitan dengan rencana serangan teroris.
  3. Informasi yang tidak diumumkan – Informasi yang berkaitan dengan client

Prioritas pengumpulan data harus dilakukan berdasarkan volatilitas :
  1. Register, peripheral memori, dan cache
  2. Memori (kernel dan fisik)
  3. Keadaan jaringan
  4. Proses yang sedang berjalan
  5. Disk
  6. Floppy, media backup
  7. CD ROM, printout
Dengan menganalogikan prinsip ketidakpastian Heisenberg yaitu “Melakukan pengujian sekumpulan atau suatu bagian dari sistem akan menimbulkan gangguan pada komponen lainnya. Sehingga akan mustahil untuk melakukan capture keseluruhan sistem pada satu saat saja.” Mengumpulkan barang bukti sangat memakan waktu. Banyak barang bukti dalam bentuk terenkripsi atau hidden. Terdapat program yang dipergunakan untuk recovery password dari perusahaan software yang dipercaya. Program untuk mengeksploitasi kelemahan pada beberapa sistem bisa didownload dari internet atau diperoleh dari penegak hukum. File bisa disimpan dengan ekstension yang menipu atau gambar yang disimpan seperti dokumen teks, misal kasus gambar porno anak-anak yang disimpan dalam nama README.TXT di folder setup.


FREEZING THE SCENE part 1

Pemeriksaan suatu perkara pidana di dalam suatu proses peradilan pada hakekatnya adalah bertujuan untuk mencari kebenaran materiil (materiile waarheid) terhadap perkara tersebut. Hal ini dapat dilihat dari adanya berbagai usaha yang dilakukan oleh aparat penegak hukum dalam memperoleh bukti-bukti yang dibutuhkan untuk mengungkap suatu perkara baik pada tahap pemeriksaan pendahuluan seperti penyidikan dan penuntutan maupun pada tahap persidangan perkara tersebut. Sejalan dengan perkembangan yang pesat dunia teknologi telekomunikasi dan teknologi komputer menghasilkan internet yang multiguna. Perkembangan ini membawa kita ke revolusi dalam sejarah pemikiran manusia bila ditinjau dari konstruksi pengetahuam umat manusia yang dicirikan dengan cara berfikir yang tanpa batas dengan Percepatan teknologi semakin lama semakin canggih yang menjadi sebab perubahan yang terus menerus dalam semua interaksi dan aktivitas masyarakat informasi. Internet merupakan bukti masyarakat global. Era informasi ditandai dengan aksesibilitas informasi yang amat tinggi. Dalam era ini, informasi merupakan komoditi utama yang diperjualbelikan sehingga akan muncul berbagai network dan information company yang akan memperjualbelikan berbagai fasilitas bermacam jaringan dan berbagai basis data informasi tentang berbagai hal yang dapat diakses olehuser dan pelanggan. Perkembangan Internet dan umumnya dunia cyber tidak selamanya menghasilkan hal-hal yang postif. Salah satu hal negatif yang merupakan efek sampingannya antara lain adalah kejahatan di dunia maya.

Teknologi komputer dapat digunakan sebagai alat bagi para pelaku kejahatan komputer seperti dengan berbagai istilah sehingga munculah istilah carding, hacking, cracking. Barang bukti yang berasal dari komputer telah muncul dalam persidangan 30 tahun yang lalu. awal nya hakim menerima bukti tersebut tanpa membedakan dengan bentuk bukti lainnya namun seiring dengan kemajuan teknologi komputer, perlakuan tersebut menjadi membingungkan karena bukti elektronik sangat sulit dibedakannya antara yang asli dan yang palsu berdasarkan sifat alaminya,data yang ada dalam komputer sangat mudah dimodifikasi.

Menurut Ruby Alamsyah, digital forensik atau terkadang disebut komputer forensik adalah ilmu yang menganalisa barang bukti sehingga dapat dipertanggungjawabkan di pengadilan. Barang bukti digital tersebut termasuk hardisk, flashdisk, handphone, notebook, server, alat teknologi apapun yang mempunyai media penyimpanan dan bisa dianalisa. Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi, akan terus meningkat karena kejahatan di internet terbagi dalam berbagai versi. Salah satu versi menyebutkan bahwa kejahatan ini terbagi dalam dua jenis, yaitu kejahatan dengan motif intelektual. Biasanya jenis yang pertama ini tidak menimbulkan kerugian dan dilakukan untuk kepuasan pribadi. Jenis kedua adalah kejahatan dengan motif politik, ekonomi, atau kriminal yang potensial yang dapat menimbulkan kerugian bahkan perang informasi. komputer forensik dapat diartikan sebagai pengumpulan dan analisis data dari berbagai sumber daya komputer yang mencakup sistem komputer, jaringan komputer, jalur komunikasi, dan berbagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan. Komputer forensik banyak ditempatkan dalam berbagai keperluan, bukan hanya untuk menangani beberapa kasus kriminal yang melibatkan hukum, seperti rekonstruksi perkara insiden keamanan komputer, upaya pemulihan kerusakan sistem, pemecahan masalah yang melibatkan hardware ataupun software, dan dalam memahami sistem atau pun berbagai perangkat digital agar mudah dimengerti. Komputer forensik merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari oleh beberapa bidang keilmuan lainnya yang sudah ada. Bahkan, komputer forensik pun dapat dispesifikasi lagi menjadi beberapa bagian, seperti Disk Forensik, System Forensik, Network Forensik, dan Internet Forensik. Pengetahuan Disk Forensik sudah terdokumentasi dengan baik dibandingkan dengan bidang forensik lainnya. Beberapa kasus yang dapat dilakukan dengan bantuan ilmu Disk Forensik antara lain mengembalikan file yang terhapus, mendapatkan password, menganalisis File Akses dan System atau Aplikasi Logs, dan sebagainya.

Permodelan Forensik
Proses forensik setidaknya akan melibatkan 3 komponen yang harus di kelola dengan baik sehingga membentuk hasil akhir yang layak untuk di pertanggung jawabkan kebenarannya. Ketiga komponen tersebut adalah :
  1.  Manusia (People), diperlukan kualifikasi¬ untuk mencapai manusia yang berkua-litas. Memang mudah untuk belajar komputer forensik, tetapi untuk menjadi¬ ahlinya, dibutuhkan lebih dari sekadar pengetahuan dan pengalaman.
  2. Peralatan (Equipment), diperlukan sejumlah perangkat atau alat yang tepat untuk mendapatkan sejumlah bukti (evidence) yang dapat dipercaya dan bukan¬ sekadar bukti palsu.
  3. Aturan (Protocol), diperlukan dalam menggali, mendapatkan, menganalisis, dan akhirnya menyajikan dalam bentuk laporan yang akurat. Dalam komponen aturan, diperlukan pemahaman yang baik dalam segi hukum dan etika, kalau perlu dalam menyelesaikan sebuah kasus perlu melibatkan peran konsultasi yang mencakup pengetahuan akan teknologi informasi dan ilmu hukum.
Dalam proses investigasi komputer yang diyakini telah disusupi, biasanya akan memerlukan waktu lebih lama dari pada proses penyusupan itu sendiri. Sebagai ilustrasi, jika sebuah usaha hacking untuk mengambil alih sebuah system membutuhkan waktu sekitar 2 jam, maka proses investigasi insiden yang terjadi dapat membutuhkan waktu 40 jam (mungkin juga lebih) untuk mendapatkan ‘false-positive report’ dan pengumpulan catatan segala aktifitas dari sistem tersebut. Waktu yang dialokasikan tersebut belum termasuk aktivitas memperbaiki dan mengembalikan (restoring) data yang kemungkinan besar ikut hilang pada proses intrusi.