3.4 File
system and Sistem Operasi
Hampir semua OS juga menyediakan
file system, karena file system adalah bagian integral dari semua OS. Tugas
nyata dari OS microcomputer generasi awal hanyalah berupa manajemen file.
Beberapa OS masa kini memiliki komponen terpisah untuk menangani file system
yang dulunya disebut Disk Operating System (DOS) ini. Dalam beberapa
mikrokomputer, DOS diload secara terpisah dari bagian OS yang lain.
Karena itulah, diperlukan interface
antara user dan file system yang disediakan oleh software dalam Sistem Operasi.
Interface ini dapat berupa textual seprti Unix Shell atau grafis seperti file
browser. Jika berupa grafis, seringkali digunakan metafora seperti folder, isi
dokumen, file dan direktori folder.
3.4.1 File system flat
Dalam sebuah file system flat, tidak
ada subdirektori – semua file disimpan pada level media yang sama (root), misal
hard disk, floppy disk, dll. Sistem ini menjadi tidak efisien ketika jumlah
file bertambah banyak, dan karenanya sulit bagi user untuk mengorganisir data
ke dalam grup-grup.
3.4.2 File system dalam platform Sistem Operasi
Unix-like
Sistem Operasi Unix-like membuat
file system virtual, yang membuat semua file pada semua media tampak berada
pada susatu hirarki tunggal. Hal ini berarti, dalam sistem tersebut,ada satu direktori
/root, dan setiap file yang ada pada sistem diletakkan di bawah direktori
tersebut.. Lebih jauh lagi, direktori /root tidak harus berada dalam suatu
media fisik. Direktori tersebut bisa jadi tidak ada di Hard Drive
bahkan mungkin tidak berada di komputer Anda. OS Unix-Like dapat menggunakan
sumber daya dari jaringan sebagai direktori /root-nya.
·
International Organization for
Standardization (ISO) 9660 dan Joliet ISO 9660 filesistem biasanya digunakan
pada CD-ROM. Filesistem CD-ROM yang popular lainnya adalah Joliet, suatu varian
ISO9660. ISO 9660 mendukung panjang nama file sampai 32 karakter, sedangkan
Joliet mendukung sampai 64 karakter. Joliet juga mendukung karakter Unicode di
dalam pemberian nama file.
·
Universal Disk
Format ( UDF). UDF adalah filesistem yang digunakan untuk DVD dan juga
digunakan untuk beberapa CD.
Sistem Unix-like memberikan nama
kepada tiap media, tapi hal ini bukanlah cara bagaimana file dalam media
tersebut diakses. Untuk mendapatkan akses ke file di media lain, Anda pertama
kali harus memberitahu OS di direktori mana file tersebut akan tampil. Proses
ini disebut dengan mounting sebuah file system. Sebagai contoh, untuk mengakses
file pada CD-ROM, user harus memberitahu OS “ambil file system dari CD-ROM ini
dan tampilkan pada direktori ini dan ini”. Direktori yang diberikan ke OS
disebut sebagai mountpoint, yang bisa berupa, misalnya /media. Direktori /media
ada pada kebanyakan Sistem Unix dan ditujukan khusus untuk dipakai sebagai
mount point untuk media removable seperti CD, DVD, dan floppy disk. Umumnya,
hanya administrator aau pengguna root dapat melakukan aksi mounting file system
ini. OS Unix-like seringkali sudah memiliki software dan tools yang menangani
proses mounting dan menyediakan fungsi baru. Strategi ini disebut dengan
“auto-mounting”, seperti yang tercermin dalam tujuannya.
·
Dalam banyak situasi, file system
selain root diharuskan tersedia segera setelah OS telah boot. Karena itu, semua
Sistem Unix-like menyediakan fasilitas untuk me-mount file system pada saat
booting. Administrator menyebut file system ini
·
Dalam beberapa situasi, tidak perlu
me-mount beberapa file system pada saat boot, meskipun mungkin dibutuhkan
setelahnya
·
Media removable telah menjadi hal
yang umum dengan platform mikrokomputer. Removable media ini mengijinkan
program dan data untuk ditransfer antar mesin tanpa koneksi fisik. Misalnya USB
flash drive, CD-RM, dan DVD. Hal ini menyebabkan dikembangkannya perangkat
untuk mendeteksi keberadaan suatu medium dan ketersediaan mount-point serta
me-mount media tersebut tanpa intervensi dari user.
·
Sistem Unix-like yang lebih maju
juga telah mengenalkan konsep yang disebut supermounting. Contohnya, sebuah
floppy disk yang telah di-supermount dapat dicopot secara fisik dari sistem.
Dalam keadaan normal, disk harus sudah disinkronkan dan kemudian di-unmount
sebelum dicopot. Sinkronisasi yang diperlukan sudah terjadi, disk yang berbeda
dapat disisipkan ke dalam drive. Sistem secara otomatis mengetahui bahwa disk
telah dirubah dan mengupdate isi mount point untuk mengindikasikan medium baru.
Fungsi serupa ditemukan pada mesin Windows standar
·
Inovasi serupa yang dipilih oleh
beberapa pengguna adalah menggunakan autofs, sistem yang tidak membutuhkan
perintah mount manual. Perbedaannya dengan supermount adalah media di-mount
secara transparan ketika permintaan ke file system dibuat. Cara ini sesuai
untuk file system pada server jaringan.
3.4.2.1 File system dalam platform Linux
Linux mendukung banyak file system yang berbeda, tapi pilihan yang umum
untuk sistem di antaranya adalah keluarga ext* (seperti ext2 dan ext3), XFS,
JFS dan ReiserFS 4.2.2
·
Hierarchical File System (HFS). HFS
didukung secara langsung oleh Mac OS. HFS sebagian besar digunakan di dalam
versi lama Mac OS tetapi masih didukung dalam versi lebih baru. Ukuran volume
maksimum HFS di Mac OS 6 dan 7 adalah 2 GB. Ukuran volume maksimum HFS dalam
Mac OS 7.5 adalah 4 GB. Mac O 7.5.2 dan sistem operasi Mac yang terbaru
meningkatkan ukuran volume maksimum HFSmenjadi2TB
·
HFS Plus. HFS Plus didukung secara
langsung oleh Mac OS 8.1 dan versi selanjutnya dan ia merupakan sebuah
filesistem berjurnal di Mac OS X. HFS Plus adalah penerus HFS dan memberikan
banyak peningkatan seperti mendukung nama file yang panjang dan nama file
Unicode untuk penamaan file internasional. Ukuran volume maksimum HFS Plus
adalah 2 TB.
File system dalam platform Mac OS X MacOS X menggunakan file system HFS
Plus yang merupakan turunan dari Mac OS klasik yaitu. HFS plus adalah file
system yang kaya metadata dan case preserve. Karena Mac OS X memiliki root
milik Unix, aturan Unix juga ditambahkan dalam HFS Plus. Versi terbaru dari HFS
plus menambahkan journaling untuk mencegah kerusakan pada struktur file system
dan mengenalkan sejumlah optimasi dalam hal algoritma alokasi dalam usaha untuk
memecah file secara otomatis tanpa membutuhkan defragmenter luar.
Nama file dapat mencapai 255 karakter. HFS Plus menggunakan pengkodean
Unicode
untuk menyimpan nama file. Dalam
Mac OS X, tipe file dapat diambil dari type code yang disimpan dalam metadata
atau nama file. HFS Plus memiliki tiga macam link: Hard Link seperti pada Unix,
Link simbolis Unix, dan alias. Alias didesain untuk menangani link ke file asli
meski file tersebut telah dipindah ataupun diubah namanya. Alias ini tidak
diinterpretasikan dalam file system, tapi pada kode File Manager pada userland.
Mac
OS X juga mendukung penggunaan File System UFS yang merupakan turunan dari File System Unix BSD.Unix File System (UFS). UFS didukung secara asli oleh beberapa jenis
sistem operasi Unix, termasuk Solaris, FreeBSD, OpenBSD, dan Mac OS X
Namun demikian, kebanyakan sistem operasi sudah menambahkan fitur khusus,
sehingga detil UFS berbeda antar implementasi.Compact Disk File System (CDFS). Seperti
indikasi namanya, CDFS filesistem digunakan untuk CD.
3.4.3 File system dalam platform Microsoft Windows
Microsoft Windows menggunakan file system
FAT dan NTFS .File System FAT (File Allocation Table) yang didukung oleh semua
versi Microsoft Windows merupakan evolusi file system yang digunakan dalam MS
DOS. Selama bertahun-tahun, banyak fitur telah ditambahkan dalam
pengembangannya, yang terinspirasi dari fitur serupa yang ada pada file system
yang dipakai pada Unix. Versi lama dari file system FAT (FAT12 dan FAT16)
memiliki keterbatasan dalam memberikan nama file, batasan dalam hal jumlah
entri dalam direktori root dalam file system dan batasan jumlah maksimum
partisi. Secara spesifik, FAT12 dan FAT16 membatasi nama file hanya sampai 8
karakter dan 3 karakter untuk perluasan. VFAT yang merupakan perluasan dari
FAT12 dan FAT16 mulai diperkenalkan pada Windows NT dan berikutnya dimasukkan
dalam Windows 95, yang mengijinkan nama file yang panjang. NTFS yang
diperkenalkan bersama dengan Wndows NT mengijinkan kontrol berbasis Access
Control List. NTFS juga mendukung Hard link, aliran file jamak, indexing
atribut, pengecekan kuota, kompresi dan menyediakan mount point untuk file
system lainnya.
Tidak seperti Sistem Operasi lainnya, Windows menerapkan abstraksi berupa
drive letter pada level user untuk membedakan sebuah disk atau partisi dari
yang lain. Sebagai contoh, path C:\Windows menunjukkan direktori Windows pada
partisi yang ditunjukkan oleh label huruf C. Drive dalam jaringan juga dapat
di-map menjadi drive letter.
3.4.3.1 Proses pengambilan data
Sistem Operasi memanggil IFS (Installable File System) manager. IFS
kemudian Memanggil FSD (File System Driver) yang sebenarnya untuk membuka file
yang diminta dari beberapa pilihan FSD yang bekerja untuk File System yang
berbeda –NTFS, VFAT, CDFS (untuk drive optikal) dan network drive. FSD kemudian
mendapatkan info lokasi kluster pertama dari file pada disk dari FAT, VFAT atau
MFT (Master File Table). MFT inilah yang yang memetakan semua file pada disk
dan merekan jejak di mana file disimpan.
3.4.3.2 File Identification
File format identifikasi adalah
proses untuk mencari tahu format dari urutan byte. System operasi biasanya
mencari tahu format dari urutan byte melalui ekstensi file ataupun melalui
informasi yang terdapat pada MIME. Aplikasi forensik perlu mengidentifikasi
jenis file dari konten.
3.4.3.3 Time
Data recovery
merupakan bagian dari analisa forensik di mana hal ini merupakan komponen
penting di dalam mengetahui apa yang telah terjadi, rekaman data,
korespondensi, dan petunjuk lannya. Banyak orang tidak menggunakan informasi
yang berasal dari data recovery karena dianggap tidak murni/asli/orisinil.
Setiap sistem
operasi bekerja dalam arah yang unik, berbeda satu sama lain (walaupun
berplatform sistem operasi yang sama). Untuk melihat seberapa jauh data sudah
dihapus atau belum, perlu memperhatikan segala sesuatu yang ada dalam raw disk.
Jika data yang digunakan untuk kejahatan ternyata masih ada, maka cara yang
termudah adalah menguji data dengan pemanfaatan tool yang ada pada standar
UNIX, seperti strings, grep, text pagers, dan sebagainya. Sayangnya, tools yang
ada tidak menunjukkan data tersebut dialokasikan di mana.Contohnya, intruder
menghapus seluruh system log files (dimulai dari bulan, hari, dan waktu) dari
minggu pertama Januari, seharusnya ditulis untuk melihat syslog tersebut:
Melalui investigasi dari sistem yang dirusak oleh intruder, sistem files UNIX
yang modern tidak menyebar contents dari suatu file secara acak dalam disk.
Sebagai gantinya, sistem files dapat mencegah fragmentasi file, meskipun
setelah digunakan beberapa tahun.
File content
dengan sedikit fragmentasi akan lebih mudah untuk proses recover dari pada file
content yang menyebar dalam disk (media penyimpanan). Tetapi sistem file yang
baik memiliki beberapa keuntungan lain, salah satunya mampu untuk menghapus
informasi untuk bertahan lebih lama dari yang diharapkan.
Dalam kasus
Linux, sistem file extension tidak akan menghapus lokasi dari urutan pertama 12
blok data yang tersimpan dalam inode jika file sudah dipindah/dihapus. Hal ini
berarti menghapus data dapat dikembalikan langsung dengan menggunakan icat
dalam inode yang terwakilkan. Seperti metode data recovery lainnya, tidak akan
menjamin jika data tetap ada di tempat semula. Jika file dihapus dalam sistem
operasi Linux, inode’s time akan terupdate. Dengan menggunakan informasi
tersebut, data dapat dikembalikan dari 20 inode pada sistem file yang dihapus.Untuk
itu seringkali penting untuk mengetahui kapan suatu file digunakan atau
dimanipulasi, dan kebanyakan sistem operasi mencatat timestamps tertentu yang
terkait dengan file. Timestamps yang biasanya digunakan adalah waktu
modifikasi, akses, dan penciptaan modification, access, and creation’, MAC),
sebagai berikut:
·
Waktu Modifikasi Ini adalah waktu
terakhir file diubah dengan berbagai cara, meliputi ketika suatu file ditulis
dan ketika file tersebut diubah oleh program lain
·
Waktu Akses. Ini adalah waktu
terakhir dilakukannya akses apapun pada file (misalnya, dilihat, dibuka,
dicetak)
·
Waktu penciptaan. Ini biasanya
merupakan waktu dan tanggal file diciptakan. Bagaimanapun, ketika file
disalinkan ke sistem, waktu penciptaan akan menjadi waktu file dicopy ke sistem
yang baru.Waktu modifikasi akan tetap utuh.
Filesistem yang berbeda mungkin
saja menyimpan jenis waktu yang berbeda. Sebagai contoh, Sistem Windows menyimpan
waktu modifikasi terakhir, waktu akses terakhir, dan waktu penciptaan file.
Sistem UNIX menyimpan waktu modifikasi terakhir, perubahan inode terakhir, dan
waktu akses terakhir, namun beberapa sistem UNIX (termasuk versi BSD dan SunOS)
tidak memperbaharui waktu akses terakhir file eksekutabel ketika mereka
dijalankan. Beberapa sistem UNIX merekam waktu terkini ketika metadata file
diubah. Metadata adalah data tentang data; untuk filesistem, metadata adalah
data yang menyediakan informasi mengenai isi file.
Jika suatu analis ingin menetapkan
garis waktu yang akurat atas suatu peristiwa, maka waktu file harus dipelihara.
Analis harus sadar bahwa tidak semua metode untuk memperoleh file dapat
memelihara waktu file. Image bit stream dapat mempertahankanwaktu file karena
dilakukan penyalinan bit-for-bit; melakukan logical backup menggunakan beberapa
tool dapat menyebabkan waktu penciptaan file terubah ketika file data
disalinkan. Oleh karena itu, bila waktu file penting, harus digunakan
imaging bit stream untuk mengumpulkan data.
Analis juga harus menyadari bahwa
waktu file tidak selalu akurat. Beberapa alasan ketidakakuratan itu adalah
sebagai berikut:
·
Jam komputer tidak mempunyai waktu
yang benar itu. Sebagai contoh, jam mungkin tidak selalu disinkronisasi secara
teratur dengan sumber waktu resmi
·
Waktu tidak mungkin direkam dengan
tingkat detil yang diharapkan, seperti menghilangkan detikatau beberapa menit
·
Penyerang mungkin telah mengubah
waktu file yang direkam.
SUMBER PUSTAKA : http://www.slideshare.net/DebyOktavia/disk-forensik
http://riverc0de.wordpress.com/2011/10/26/disk-forensic-part-3/
(INDRA
OKTADWIYANTO)
