Pada postingan ini, saya telah membahas cara menganalisa keaslian file dengan menggunakan fungsi hash, yaitu menggunakan algoritma MD5. Selanjutnya saya akan mencoba melakukan Times Stamp Analysis pada sebuah file, dengan membandingkan aspek MAC (Modified, Accessed dan Created). File tersebut nantinya akan dilakukan beberapa modifikasi (rekayasa). Times Stamp Analysis ini akan mengacu pada sebuah tabel MAC times yang dapat dilihat pada: http://forensicswiki.org/wiki/MAC_times.

Operation System yang saya gunakan adalah Windows 7 (32-bit). Mengapa perlu mengetahui OS apa yang digunakan? Karena hasil yang diperoleh untuk setiap OS akan berbeda. Seperti contoh pada situs forensicswiki.org menggunakan OS XP, hasil percobaan mereka pun berbeda dengan hasil percobaan saya. Berikut hasil yang saya peroleh dari ujicoba terhadap MAC times sebuah file:

Condition	Modified	Accessed	Created
When renaming a file	Preserved	Preserved	Preserved
When moving a file between folders	Preserved	Preserved	Preserved
When moving a file between disks or partitions	Preserved	Time of move	Time of creation
When copying a file	Preserved	Time of copy	Time of copy
When writing a new file	Time of creation	Time of creation	Time of creation
When modifying an existing file	Time modified	Time modified	Preserved
When accessing an existing file	Preserved	Preserved	Preserved

Dari tabel diatas, dapat kita lihat waktu yang berubah pada saat file direkayasa. Ketika file yang asli dipindahkan pada partisi yang berbeda dan juga di copy, maka accessed time dan created time nya berubah. Ketika dilakukan modifikasi pada file yang asli, maka accessed time dan modified time nya berubah. Sedangkan perubahan waktu ketiganya akan berubah, pada saat membuat file yang baru.

Sekian, semoga bermanfaat^^