Tujuan dari komputer forensik adalah untuk menjelaskan keadaan dari artefak digital. Istilah artefak digital dapat mencakup sebuah sistem komputer, media penyimpanan (seperti hard disk atau CD-ROM), dokumen elektronik (misalnya pesan email atau gambar JPEG) atau bahkan urutan paket yang dipindahkan melalui jaringan komputer. Penjelasan langsungnya dapat sejelas "informasi apa yang terdapat di sini?" dan sedetail "bagaimana urutan dari kejadian yang menyebabkan situasi sekarang"
Bidang forensik komputer juga memiliki cabang di dalamnya seperti forensik firewall , forensik jaringan, forensik basisdata dan forensik perangkat mobile.
Ada banyak alasan untuk mengunakan teknik forensik komputer:
- Dalam kasus hukum, teknik forensik komputer sering digunakan untuk menganalisis sistem komputer milik terdakwa (dalam kasus pidana) atau berperkara (dalam kasus perdata).
- Untuk memulihkan data jika terjadi kegagalan hardware atau software.
- Untuk menganalisa sebuah sistem komputer setelah terjadi perampokan, misalnya, untuk menentukan bagaimana penyerang memperoleh akses dan apa yang penyerang itu lakukan.
- Untuk mengumpulkan bukti terhadap seorang karyawan yang organisasi inginkan untuk mengakhiri.
- Untuk mendapatkan informasi tentang bagaimana sistem komputer bekerja untuk tujuan debugging, optimasi kinerja, atau reverse-engineering.
- Tidak ada tindakan yang diambil oleh badan-badan penegak hukum atau agen mereka yang harus atau dapat mengubah data yang terdapat pada sebuah komputer atau media penyimpan yang kemudian akan digunakan sebagai bukti terpercaya di pengadilan.
- Dalam keadaan tertentu, di mana seseorang dirasa perlu untuk mengakses data asli yang terdapat pada komputer atau pada media penyimpanan, harus orang yang kompeten untuk melakukannya dan mampu memberikan bukti dan menjelaskan relevansi dan implikasi dari tindakan mereka.
- Audit trail atau catatan lain dari semua proses yang diterapkan untuk komputer berbasis bukti elektronik harus diciptakan dan disimpan. Pihak ketiga yang independen harus mampu memeriksa proses-proses dan mencapai hasil yang sama.
- Orang yang bertanggung jawab atas investigasi (petugas kasus) memiliki tanggung jawab keseluruhan untuk memastikan bahwa hukum dan prinsip-prinsip ini dipatuhi.
1. Persiapan (dari penyidik, bukan data)
2. Koleksi (data)
3. Pemeriksaan
4. Analisa
5. Pelaporan
Penyelidik harus dilatih dengan benar untuk melakukan penyelidikan jenis tertentu yang dalam lingkupnya .
Peralatan yang digunakan untuk menghasilkan laporan untuk pengadilan harus divalidasi. Ada banyak piranti yang akan digunakan dalam proses. dan harus ditentukan alat yang tepat untuk digunakan berdasarkan kasus nya.
Beberapa contoh kasus it forensik :
A. Kasus Guru dan Trickster , ini adalah sebuah contoh kasus nyata yang dikerjakan oleh seorang IT forensik , pada saat itu adalah bulan oktober dimana seorang guru wanita meneleponnya dan mengatakan bahwa dia ( guru itu ) dianggap gila oleh atasannya , ia adalah seorang guru baru dan belum menjadi pengajar tetap pada sebuah Sekolah Menengah Atas di New England , salah seorang murid di salah satu kelas-nya mengulang hal-hal yang ia lakukan pada malam sebelumnya yang dikerjakan dalam kamarnya , walau dia sudah yakin mematikan komputernya pada malam hari dan orang lain berbicara dalam rumah sementara ia mendengarkan di luar , tidak ada kata yang tidak didengar, apalagi diulang. Dia melihat sekeliling untuk bug ... hanya menemukan beberapa laba-laba. Dia menyewa P.I. untuk mencari perangkat penyadap dan tidak ditemukan. Dia pergi ke polisi, yang tidak tertarik tanpa barang bukti . pengawas nya di sekolah tidak menganggapnya serius. Kepala di sekolah itu mengira dia sudah gila. Dia merasa bahwa dia dalam bahaya dipecat dan kehilangan karir yang dia inginkan.
Dia mulai curiga komputernya adalah sarana akses ke menyerang privasinya, tetapi ia tidak tahu bagaimana caranya. dan mulai mengirimkan sejumlah besar file kepada teknisi IT forensik tersebut namun begitu sulit mencari sesuatu yang tidak kita ketahui . maka pada akhirnya IT forensik itu memeriksa secara langsung komputer dari client ini dan hal pertama yang ia lakukan adalah membuat salinan identik dari hard drive. jika tidak salah ia mengunakan Media Tools Professional dari RecoverSoft.
ia mencari Trojan Remote Control. Seperti Trojan horse asli , trojan biasanya di sisipkan pada hadiah gratis seperti games , atau pada email dengan attachment , setelah didalam komputer anda maka program tersebut akan mengeluarkan isi nya namun tidak seperti Trojans asli, mungkin tanpa diketahui pengontrol jarak jauh sering diam-diam, mengambil alih komputer Anda.
maka ia menjalankan program anti-malware, termasuk favorit nya pada saat itu, Ewido (kemudian dibeli oleh Grisoft, yang kemudian diakuisisi oleh AVG). ia juga mengunakan Norton, Panda, Spybot dan banyak lagi. program yang berbeda-beda menangkap hal-hal yang berbeda. beberapa virus yang terditeksi , tapi untuk remote control Trojans tak dapat ditemukan. maka ia melakukan sesuatu yang lain.
Maka ia membuat daftar nama-nama Trojan remote control, alias, dan executable (nama sebenarnya dari file yang melakukan pekerjaan kotor) dan dikompilasi mereka ke tabel. Ia mengunakan EnCase Forensik , dimuat drive, dan kemudian tabel input nya sebagai daftar kata kunci. ia telah mencari menyelimuti seluruh hard disk - aktif dan kompresi file dan ruang yang tidak terisi, file sllack, MBR, dan memori virtual file - untuk entri dalam daftar keyword barunya . Dari hasil, ia membuang semua yang merupakan bagian dari program antivirus atau kamus, dan membalik-balik yang tersisa.
mencari pada entri registri dari sistem terkompresi yang lama , mengembalikan file snapshot yang memberikan referensi sampai 30 file setup untuk satu Backdoor Trojan jahat dan untuk satu program desktop surveilans spyware. Mereka datang lengkap dengan tanggal instalasi dan alamat IP dari titik asal.
dan akhirnya dapat terungkap bawah pelakunya adalah seorang scripte kidie yang merupakan murid kelasnya yang kemudian akhirnya diberikan peringatan dan dipindahkan ke kelas lain dan guru itu pun tidak jadi dipecat
