EMAIL
FORENSIC
Dari sudut pandang
forensik, e-mail dengan sistem client/server memudahkan dalam
menemukaninformasi (untuk kepentingan analisis) karena semua pesan di-download,
dandisimpan dalam komputer lokal. Dengan mendapatkan akses ke komputer lokal,
makaanalisis terhadap e-mail akan jauh lebih mudah. Dua bagian e-mail
yangdijadikan sumber pengamatan adalah header dan body. Yang paling umum
dilihatdari sebuah header adalah From (nama dan alamat pengirim yang mudah untukdipalsukan),
To (tujuan yang juga dengan mudah disamarkan), Subject and Date(terekam dari
komputer pengirim, namun menjadi tidak akurat jika tanggal danjam pada komputer
pengirim diubah). Untuk mendapatkan informasi yang lebihdetail, header pada
e-mail perlu diekstrak. Dari header tersebut bisadidapatkan informasi IP Lokal
dari pengirim, ID unik yang diberikan oleh servere-mail, dan alamat server
pengirim.
Umumnya,software e-mail
client/server (seperti Ms.Outlook, Eudora, atau ThunderBird)telah menyediakan
fasilitas untuk melihat header secara lengkap, namun beberapasoftware forensik
mampu membaca dan mengekstraksi header untuk keperluananalisis lebih lanjut
seperti EnCase atau FTK. Dengan software forensik ini,analisis untuk melakukan
pencarian, ekstrak header, pencetakan ke printer, danpengelompokkan e-mail
menjadi lebih mudah dilakukan.
Lalu, bagaimanadengan
investigasi untuk web-based e-mail, seperti Yahoo! atau Gmail? E-mailyang
pernah terbaca melalui web browser, tentunya tidak disimpan di komputerlokal
seperti halnya e-mail dengan sistem client/server. Ketika e-mail dibacapada
sebah komputer, sistem operasi meng-cache isi website tersebut padaharddisk.
Cara terbaik untuk melacak setiap e-mail yang pernah terbaca adalahmelalui area
temporary file seperti file swap atau file cache, atau jikatemporary file telah
terhapus, pelacakan dapat difokuskan pada area tempatlokasi file temporary
sebelum dihapus.
Ektraksi untukmelakukan
ini akan membutuhkan lebih banyak usaha dibandingkan ekstraksi dengansistem client/server,
karena penelusuran difokuskan untuk mencari file HTML diantara kumpulan ratusan
atau mungkin ribuan halaman-halaman HTML. Softwareforensik seperti FTK atau
EnCase dapat berguna untuk mempercepat pencarian.Misalkan mencari suatu pesan
yang mengandung wc.warl3x@gmail.com, maka tekstersebut dapat dimasukkan sebagai
dasar pencarian pada sebuah softwareforensik, dan diatur agar pencarian
dilakukan hanya untuk file HTML. Softwareforensik akan menjelajah isi harddisk,
dan berusaha menemukan file (ataupotongan file) dengan kriteria yang telah
disediakan.
Untuk Materi dan Melanjutkan Materi, Baca Materi Lainnya :
Tidak ada komentar:
Posting Komentar