Setelah tiga proses awal dilalui, maka komputer akan dikendalikan menggunakan sistem operasi. Seperti Anda ketahui, banyak sekali sistem operasi yang beredar saat ini, namun dalam topik ini hanya akan dibahas bagaimana bukti digital dapat terjadi dan digali dari sistem operasi Windows.
Untuk mengenali kerumitan kinerja digital dalam level fungsi sistem operasi, ada tiga poin penting yang harus dimengerti oleh seorang teknisi adalah cara kerja sistem operasi itu sendiri, file sistem, dan aplikasi yang berjalan di atasnya. Cara kerja sistem operasi meliputi pengertian tentang sistem akun pada Windows NT dan familinya, file access control, registry, sistem logging dan masihbanyak lagi.
Semuanya memiliki tingkat kepentingan yang sama, namun umumnya sistem logging dan registry merupakan komponen yang akan sering dilihat. Sistem logging merupakan komponen yang penting dalam sistem operasi karena pada log inilah tercatat semua pergerakan data di dalam CPU (Central Processing Unit).
Di dalam fungsi sistem operasi Windows NT/2000/XP, logging disimpan dalam direktori %systemroot%\ system32\config\ (c:\winnt\system32\ config). File-file log yang ada di dalamnya termasuk file Appevent.evt (berisi catatan-catatan penggunaan aplikasi), Secevent.evt (merekam aktifitas yang berhubungan dengan security termasuk login), Sysevent.evt (mencatat semua kejadian-kejadian yang berhubungan dengan sistem seperti misalnya waktu shutdown).
Selain file-file ini masih banyak lagi file log yang tersedia untuk diselidiki oleh pengembang software jika ingin diselidiki. Selain itu registry juga merupakan salah satu komponen penting dalam penyidikan digital. Sistem Windows menggunakan registry untuk menyimpan konfigurasi sistem dan detail penggunaan sistem operasi.
Jadi dari key-key yang ada di dalam registry, banyak informasi yang bisa Anda dapatkan seperti kapan waktu akses sebuah aplikasi, file apa yang diakses menggunakan aplikasi tersebut, di mana letak file yang diakses, dan banyak lagi. Untuk melihat-lihat isi registry biasanya digunakan program sederhana bawaan Windows yaitu Regedt32. Memahami file sistem berguna untuk mengetahui bagaimana data-data Anda disusun di dalam harddisk, data apa saja yang dimodifikasi, data apa saja yang disembunyikan, data apa saja yang telah di hapus, sistem partisi harddisk, dan banyak lagi. FAT dan NTFS merupakan file system yang sering digunakan oleh Windows.
Proses pengumpulan bukti digital dari sisi file ssstem biasanya adalah seputar recovery data yang telah terhapus dan penyidikan data-data yang dimodifikasi. Recovery file yang telah dihapus menjadi sangat penting dalam penyidikan karena dapat mengorek kembali informasi-informasi lama yang sengaja maupun tidak sengaja dihapus.
Biasanya proses ini mengandalkan program recovery seperti misalnya Ontrack. Easy-Recovery Pro atau DataLifter. Cukup banyak jenis-jenis data yang dapat dikembalikan dengan menggunakan aplikasi ini. File dan data yang telah dimodifikasi juga dapat dilihat dengan menyelidiki informasi yang terkandung dalam file system FAT dan NTFS.
Ketika sebuah file masuk ke dalam PC melalui media apapun, sebuah sistem penanda dari file sistem akan diberikan pada file tersebut. Sistem penanda ini disebut datetime stamp. Penanda ini berisi tanggal dan waktu dimana file tersebut pertama kali masuk ke dalam PC.
Ketika file tersebut diakses, dimodifikasi, atau dipindahkan tempatnya, date-time stamp akan berubah untuk menandai aksi-aksi ini. FAT dan NTFS mempunyai karakteristik sendiri dalam melakukan penandaan ini dan mengumpulkannya menjadi sebuah informasi.
Dengan memahami karakteristik ini, para penyidik dapat mengetahui aksi-aksi apa yang telah terjadi terhadap filefile bukti dan kapan hal tersebut terjadi. Aplikasi seperti Encase Forensic Edition dapat melayani Anda dalam melakukan penyidikan jenis ini. Selain itu aplikasi-aplikasi dalam sistem operasi ini juga harus dikenali dengan baik.
.NET framework, JAVA, bahasa pemrograman, scripting, dan aplikasi lainnya harus dimengerti untuk mengorek bukti digital. Dalam aplikasiaplikasi besar, biasanya terdapat fasilitas logging yang sangat berguna dalam melakukan penyidikan. Carilah file-file log ini jika memang ada. Selain itu, jika diperlukan lakukan pengujian aplikasi-aplikasi tersebut untuk mengetahui karakteristiknya. Namun pengujian sebaiknya dilakukan pada PC lain. [TR]