5. Triage Forensik Menggunakan Helix

 CARA MENGUNAKAN HELIX :

INILAH TAMPILAN HOME HELIX :

INI BAGIAN INFORMASI SISTEM LAPTOP / PC YANG KITA ANALISIS DENGAN HELIX :

LIVE ACQUISITION ADALAH UNTUK MEMBUAT KLONINGAN FILE IMAGE.DD :

INCIDENT RESPONSE ADALAH BAGIAN TOOLS UNTUK MENDINDAK INSIDEN YANG TERJADI :

 SCAN FOR PICTURES UNTUK MENCARI GAMBAR DI FOLDER PC :

 INVESTIGATIVE NOTES ADALAH CATATAN DARI INVESTIGATOR :

 

Ninin Arpiani (13142044) IF7BI

Dosen : SuryaYusra

Teknik Informatika, Ilmu Komputer, Universitas Binadarma Palembang.

4. Akuisisi Digital Forensik

FTK Imager :

Access Data  Forensic ToolKit Imager atau biasa di sebut “AD FTK Imager” merupakan salah satu tools yang digunakan dalam dunia forensik digital untuk melakukan sistem akuisisi data yang dikembangkan oleh perusahaan AccessData. Dimana sistem akuisisi itu sendiri merupakan suatu sistem yang berfungsi untuk mengambil, mengumpulkan dan menyiapkan data, hingga memprosesnya untuk menghasilkan data yang dikehendaki. Jenis serta metode yang dipilih pada umumnya bertujuan untuk menyederhanakan setiap langkah yang dilaksanakan pada keseluruhan proses.

 Pada dasarnya FTK Imager bertujuan untuk melakukan akuisisi pada bukti digital (digital evidence) pada sebuah software.

1. Physical Drive, biasanya berupa harddisk atau flash disk, disini kita bicara mengenai drive secara fisik, jadi kalau kapasitas ada 500 gb maka image kita juga akan memiliki size sebesar 500 gb (kecuali kita compress), jadi kita akan mengclone harddisk secara fisik , tidak perduli apakah ada isinya atau tidak. Ini biasanya untuk melihat apakah ada file2 yang didelete
2. Logical Drive, berupa drive di computer, yaitu biasanya A:, C:, D:, dst.  Bisa saja satu harddisk dibagi/ dipartisi menjadi 2 atau lebih logical Drive, misalnya C: untuk system dan D: untuk data. Kalau kita membuat Image dari Logical drive berarti satu drive utuh termasuk bagian yang kosong/tidak ada datanya
3. Image file, ini merupakan cloning dari suatu drive/folder/CDROM yang berupa suatu file dengan ekstensiaon ISO, VC4, dll tergantung softwarenya. Image berguna juga sebagai backup dari aslinya dan bisa disimpan dalam hardisk kita sehingga kita tidak perlu mencari2 di tumpukan CDROM kita misalnya. Image file biasanya hanya mengambil bagian drive/CDROM yang ada datanya saja untuk menghemat tempat
4. Contents of A folder, berupa folder dan isinya termasuk sub folder, kalau kita mau mengambil datanya saja dari suatu drive/CDROM/Flashdisk maka kita gunakan ini karena lebih menghemat tempat.
5. Fernico Device (Multiple CD), ini berupa alat untuk mengcloning banyak CD,

 Dalam melakukan akuisisi, FTK imager akan mengkalkulasi Hash value dari image dan juga membuat manifest dari image yang dibuatnya. Adapun hasil dari akuisisi itu berupa file dengan ekstensi .ad1, ad2, ad3 dan .txt.

Hash value merupakan suatu nilai yang dihasilkan oleh suatu algoritma/perhitungan matematis atas suatu text, suatu file atau bahkan suatu Harddrive/CD/Flashdisk atau media penyimpanan lainnya. Hash value disebut juga sebagai checksum

Suatu file/text/storage akan menghasilkan nilai yang sama jika berhasil dicloning/Dicopy atau dengan kata lain 2 buah text/file/storage disebut identik jika memiliki nilai hash yang sama

semua Hash algoritma menggunakan sejumlah karakter sebagai sidik jari dari suatu kontent, berikut ini adalah nilai hash value dari berbagai algoritma yang ada sekarang atas suatu kontent, jika memakai metode/algoritma yang sama suatu file akan selalu menghasilkan nilai hash value yang sama.

 

 Jenis - jenis / Contoh HASH :

MD5 : 464668D58274A7840E264E8739884247

SHA-1 : 4698215F643BECFF6C6F3D2BF447ACE0C067149E

SHA-256 :

F2ADD4D612E23C9B18B0166BBDE1DB839BFB8A376ED01E32FADB03A0D1B720C7

SHA-384 :

2707F06FE57800134129D8E10BBE08E2FEB622B76537A7C4295802FBB94755BBEE814B101ED18CC2D0126BD66E5D77B6

SHA-512 :

C526BC709E2C771F9EC039C25965C91EAA3451A8CB43651EA4CD813F338235F495D37891DD25FE456FE2A8CA89457629378BE63FB3A9A5AD54D9E11E4272D60C

RIPEMD-128 : A868B98EAEC84891A7B7BA620EDDE621

TIGER : F31A22CEED5848E69316649D4BAFBE8F9274DED53E25C02D

 

PANAMA :

7E703B1798A26A0AF21ECD661CBADB9C72B419455814CA7B82E29EE0C03FA493

Checksum adalah angka yang mewakili jumlah digit dalam contoh data digital; digunakan untuk memeriksa apakah kesalahan telah terjadi dalam transmisi atau penyimpanan

CHECKSUM

CRC16: 117C

CRC32: FA2D47D4

ADLER32: CF7D65FF

 

Ninin Arpiani (13142044) IF7BI

Dosen : SuryaYusra

Teknik Informatika, Ilmu komputer, Universitas Binadarma Palembang.

3. Anti Digital Forensik

METODE ANTI FORENSIK


Ada 4 metode anti forensik yang dikemukakan oleh Dr. Marc Rogers. Keempat metode itu adalah sebagai berikut:
 1. Data Hiding
Teknik menyembunyikan data, dilakukan agar investigator tidak dapat melihat bukti secara langsung. Barang bukti tidak dimusnahkan atau dimanipulasi, hanya disembunyikan agar membuatnya lebih tidak tampak di mata investigator. Oleh karenanya diperlukan pemeriksaan lebih mendalam terhadap barang bukti tersebut.

Contoh: steganography, data yang disembunyikan di unallocated space dalam harddisk.


2. Artefact Wiping
Teknik memusnahkan barang bukti dengan cara menghapusnya sehingga sulit dan jika mungkin mustahil untuk di-recover. Teknik ini dapat dilakukan dengan berbagai macam tools yang telah tersedia di pasaran, seperti BC Wipe, Eraser, dan PGP Wipe. Namun teknik ini juga bisa dibilang tidak sempurna, karena kebanyakan dari tools tersebut akan meninggalkan jejak penghapusan yang dapat dilacak.


3. Trail Obfuscation
Teknik mengacaukan jejak yang dilakukan agar investigator forensik dibuat bingung dalam proses pemeriksaan barang bukti. Contoh tools yang digunakan adalah:

• Timestomp   –> digunakan untuk memodifikasi timestamp (access, creation, dan modification time/date) pada metadata.
• Transmogrify   –> digunakan untuk memodifikasi header dari file signature. Contoh: header file .jpg diubah menjadi header file .doc, sehingga jika ada tools forensik yang digunakan untuk mencari file .jpg, maka file .jpg yang telah diubah header-nya menjadi file .doc akan di-skip.

 
4. Attacks Against Computer Forensics Tools
Teknik serangan terhadap tools forensik komputer. Dilakukan karena tools tersebut memiliki celah keamanan (vulnerability) dan investigator yang sangat bergantung kepada tools tersebut.
Salah satu contohnya adalah tools anti forensik yang menargetkan integritas nilai hash untuk verifikasi image/copy dari bukti digital. Dengan mempengaruhi integritas nilai hash inilah, nantinya membuat barang bukti yang dikumpulkan dan diperiksa akan diragukan keabsahannya.


KELEMAHAN PROSES FORENSIK

Anti forensik memanfaatkan kelemahan proses forensik dari aspek:
1. Human element
Aspek manusia yang bekerja dalam proses forensik, dalam hal ini adalah investigator forensik. Kemampuan investigator forensik dalam menangani sebuah kasus amat sangat bervariasi, bergantung pada kepekaan/kewaspadaan investigator, level pendidikan, dan pengalaman.

2. Dependency on tools
Kebergantungan terhadap tools forensik komputer. Tidak masalah jika tools tersebut imun dari serangan. Namun pada kenyataannya, tools tersebut mempan untuk diserang. Jalan keluarnya adalah dengan menggunakan berbagai macam tools forensik yang tidak berasal dari 1 vendor saja. Pendekatan lain adalah dengan mengusulkan kepada vendor yang membuat tools forensik untuk meningkatkan keakuratan dan keampuhan tools forensik buatannya.

3. Physical/logical limitations
Keterbatasan aspek fisik, seperti konektor & protocol dari hardware, serta format media penyimpanan. Keterbatasan aspek logik, seperti keterbatasan ruang penyimpanan, waktu, dan biaya. Keterbatasan-keterbatasan ini tidak akan dapat dihilangkan, namun dapat diminimalisir.



Cara meminimalisir keterbatasan tersebut adalah:

• Investigator harus bisa memiliki akses kepada hardware dan software forensik dari yang lama sampai yang ter-update.
• Memanfaatkan sebaik-baiknya fitur analisis statistik dan massive indexing yang ada di dalam tools forensik untuk menghemat waktu. Namun tidak semua tools forensik memiliki fitur ini.
• Mengajak vendor tools forensik komputer untuk berpartisipasi dalam meningkatkan keakuratan dan keampuhan tools forensik buatannya.

Ninin Arpiani (13142044) IF7BI
Dosen : SuryaYusra
Teknik Informatika, Ilmu Komputer, Universitas Binadarma Palembang.

2. Prosedur Penanganan TKP Komputer ON & OFF

Prosedur Penanganan Awal di TKP :

Penanganan awal barang bukti elektronik di TKP memegang peranan yang sangat penting dan krusial, dikarenakan sifat volatility (mudah berubah, hilang, atau rusak) dari barang bukti digital. Jika penanganan awal barang bukti elektronik tersebut di TKP adalah keliru dan tidak prosedural, maka sangat dimungkinkan barang bukti digital yang penting dan semestinya ada menjadi berubah atau bahkan hilang. Untuk itu analis forensik dan investigator harus mampu memahami prosedur penanganan barang bukti elektronik, dalam hal ini adalah komputer, dengan benar.

1. Persiapan
Sebelum berangkat ke TKP untuk melaksanakan penggeledahan kasus yang berkaitan dengan barang bukti elektronik, maka analis forensik dan investigator terlebih dulu hal-hal atau peralatan yang nantinya dibutuhkan selama proses penggeledahan di TKP. Berikut adalah hal-hal yang harus dipersiapkan dan dimiliki oleh analis forensik dan investigator.

1. Administrasi penyidikan: seperti surat perintah penggeledahan dan surat perintah penyitaan.
2. Kamera digital: digunakan untuk memotret TKP dan barang bukti secara fotografi forensik (foto umum, foto menengah dan foto close up).
3. Peralatan tulis: untuk mencatat antara lain spesifikasi teknis komputer dan keterangan para saksi.
4. Nomor, skala ukur, label lembaga, serta sticker label kosong: digunakan untuk menandai masing-masing barang bukti elektronik yang ditemukan di TKP.
5. Formulir penerimaan barang bukti: digunakan untuk kepentingan chain of custody, yaitu metodologi untuk menjaga keutuhan barang bukti dimulai dari TKP.
6. tools: digunakan untuk kegiatan triage forensic terhadap barang bukti komputer yang ditemukan dalam keadaan hidup (on).

2.1.2  Contoh Tahapan Investigasi SOP Ketika Komputer Dalam Keadaan Mati (Off)
Berikut adalah tahapan-tahapan yang dikerjakan ketika analis forensik atau investigator
mendapati barang bukti komputer dalam keadaan mati (off) di TKP.

1. Pastikan komputer tersebut dalam keadaan mati, yaitu dengan cara menggeser mouse sedikit atau melihat lampu indikator power. Ini dilakukan untuk memastikan bahwa komputer tersebut tidak dalam keadaan stand-by atau hibernasi.
2. Catat spesifikasi teknis dari barang bukti komputer, misalnya: merek, model, dan serial number (S/N) atau product number (P/N).
3. Lakukan fotografi forensik terhadap barang bukti komputer tersebut, dilengkapi dengan nomor, skala ukur, dan label. Fotografi forensik ini mencakup foto umum (yaitu menjelaskan TKP secara keseluruhan), foto menengah (yaitu, menjelaskan hubungan barang bukti elektronik dengan benda-benda di sekitarnya), dan foto close up (yaitu foto khusus terhadap barang bukti tersebut). Foto-foto tersebut diusahakan diambil dari empat arah yang berbeda. Untuk foto close up, juga lakukan fotografi terhadap name plate yang biasanya terletak di sisi bawah atau belakang.
4. Catat keterangan saksi mengenai hal-hal yang berhubungan dengan barang bukti komputer tersebut.
5. Bungkus barang bukti komputer tersebut, kemudian beri catatan di sisi luarnya untuk menandakan jenis komputer yang berada di dalam bungkusan tersebut. Untuk hal-hal yang sifatnya mendesak, bisa saja barang bukti komputer tersebut tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dengan menggunakan sticker label kosong.
6. Isi formulir penerimaan barang bukti. Tulis dengan jelas tanggal dan tempat TKP serta spesifikasi teknis dari masing-masing barang bukti elektronik dan ditandatangani oleh investigator dan analis forensik.
7. Bawa barang bukti komputer tersebut berikut catatan-catatan dan foto-fotonya ke laboratorium untuk pemeriksaan dan analisis lebih lanjut.
8. Catatan Penting: jangan pernah menghidupkan kembali-barang bukti komputer yang ditemukan dalam keadaan sudah mati (off) karena sama artinya dengan investigator/ analis melakukan kontaminasi terhadap isi harddisk dari komputer tersebut.

•   Contoh Tahapan Investigasi Ketika Komputer dalam Keadaan On (Hidup)

Berikut adalah kegiatan-kegiatan yang semestinya dilakukan oleh analis forensik dan investigator ketika menemukan barang bukti komputer dalam keadaan menyala (on) di TKP. Prinsip dari kegiatan ini adalah berusaha untuk mendapatkan data-data investigatif (yang berkaitan dengan kejahatan) seefisien mungkin (cepat dan tepat) dengan perubahan isi harddisk seminimum mungkin.

1. Catat apa yang sedang running dan tampak di layar monitor dari barang bukti komputer.
2. Catat spesifikasi teknis dari barang bukti komputer tersebut seperti penjelasan sebelumnya, termasuk mencatat tanggal/waktu dari komputer tersebut yang biasanya berada di pojok kanan bawah, kemudian bandingkan dengan tanggal/waktu lokal yang sebenarnya.
3. Lakukan fotografi forensik seperti yang telah dijelaskan sebelumnya. Ditambahkan untuk melakukan fotografi tanggal/waktu dari komputer tersebut disandingkan dengan jam yang menunjukkan waktu lokal yang sebenarnya. Ini sangat dibutuhkan untuk menunjukkan seberapa jauh perbedaan antara tanggal/waktu komputer dengan tanggal/waktu yang sebenarnya. Hal ini sangat erat kaitannya dengan time stamps dari s\ia.tu file yang menjadi temuan digitalnya. Time stamps tersebut berupa created date (yaitu, tanggal pertama kali file tersebut dibuat dan tercatat di file system yang sedang berjalan), modified date (yaitu tanggal terakhir kali file tersebut dimodifikasi, dan tercatat, bisa di file system sebelumnya atau yang sedang berjalan), dan accessed date (yaitu, tanggal terakhir kali file diakses dan tercatat di file system yang sedang berjalan).
4. Catat keterangan saksi-saksi yang menjelaskan hal-hal terkait barang bukti komputer tersebut.
5. Lakukan triage forensik dengan bantuan triage tools yang sudah disiapkan sebelumnya Pada tahapan triage ini, analis forensik dan investigator sangat memungkinkan untuk mendapatkan banyak data secara cepat yang berkaitan dengan investigasi kasu computer crime atau computer-related crime, sehingga dengan cepat pula, investigator dapat menentukan tahapan investigasi lebih lanjut secara benar. 

 Salah satu tahapan triage yang sangat penting yang seharusnya dilakukan oleh analis forensik atau investigator adalah melakukan RAM imaging, yaitu suatu proses forensic imaging (penggandaan secara physical bit per bit) terhadap RAM (Random Access Memory) dari barang bukti komputer yang dalam keadaan on. RAM ini menyimpan banyak informasi dari semua proses dan aplikasi yang sedang running (berjalan) sejak komputer dihidupkan. Informasi ini bisa jadi sangat dibutuhkan oleh investigator untuk bahan investigasi lebih lanjut. Selain RAM imaging, analis forensik dan investigator bisa mendapatkan data-data yang masih tersimpan di komputer tersebut secara cepat berikut:

1. Encrypted files, yaitu mencari file-file enkripsi yang mungkin dalam keadaan sudah dideskripsi oleh pelaku. Jika ini terjadi, maka inilah kesempatan yang sangat baik dan tepat bagi analis forensik dan investigator untuk mendapatkan isi dari file-file enkripsi tersebut.
2. Informasi sistem, seperti jenis sistem operasi, processor, ukuran RAM, tanggal/ waktu, merek, model, serial number, aplikasi-aplikasi yang ter-install, proses- proses yang sedang berjalan, dan lain-lain.
3. File history, seperti recent files (yaitu, file-file yang diakses beberapa waktu terakhir) dan opened files (yaitu, file-file yang diakses mulai dari selesainya instalasi sistem operasi hingga saat terkini).
4. Internet browser history, yaitu rekaman/catatan ketika sedang surfing (bermain) di internet dari browser, seperti Internet Explorer, Firefox, Safari, dan Opera.
5. On/off history, yaitu rekaman/catatan kapan komputer tersebut on dan off.
6. Contents searching, yaitu melakukan pencarian terhadap isi dari suatu file tertentu secara cepat.
7. RAM mapping, yaitu melihat pemetaan RAM yang dialokasikan untuk proses- proses atau aplikasi yang sedang running.
8. USB history, yaitu rekaman/catatan penggunaan port USB (Universal Serial Bus) yang digunakan untuk mengakses media penyimpanan data seperti flashdisk, harddisk, memory card (lewat card reader), atau bahkan handphone/smartphone.
9. Password dumping, yaitu mendapatkan password dari internet browser yang digunakan untuk memasukkan user ID dan password secara online dan tersimpan di browser.

 Kegiatan-kegiatan triage di atas harus dipahami oleh analis forensik dan investigator bahwa hal tersebut sangat mungkin mengubah isi dari harddisk barang bukti komputer. Oleh karena itu, pelaksanaan triage harus dilakukan secara hati- hati dan harus mampu memahami apa saja isi harddisk yang mungkin akan berubah ketika dilakukan proses triage. Dengan demikian, sudah semestinya analis forensik dan investigator memahami dulu secara mendetail dan jelas mengenai triage sebelum melakukannya. Sepanjang analis forensik/investigator memahami perubahan dan alasan untuk melakukan triage yang dapat dibenarkan secara teori dan praktis, maka pelaksanaan triage dapat dibenarkan.

6. Setelah proses triage forensic selesai, maka barang bukti komputer harus dimatikan secara kasar. Artinya tidak lewat prosedur shut down, namun dimatikan dengan cara memutus aliran listriknya secara langsung. Ini dimaksudkan untuk menjaga keutuhan dari page file (yaitu space ruang harddisk yang digunakan sebagai memory sementara ketika komputer dalam keadaan hidup yang mana page file ini menyimpan proses-proses atau aplikasi-aplikasi yang sedang running).

Untuk PC, cabut ujung kabel power yang berada di belakang casing CPU (Central Processing Unit), kemudian dilanjutkan di ujung lainnya yang terpasang di stop kontak. Ini dimaksudkan agar jika ada UPS (Uninterruptible Power Supply) yang berada di antara CPU dengan power, maka UPS tersebut tidak akan aktif. Sedangkan, untuk komputer berupa laptop atau netbook, maka cabut baterai secara langsung yang berada di posisi belakang atau bawah.
Untuk komputer yang digunakan sebagai server yang bisa dilihat dari sistem operasi yang terinstall, misalnya Windows 2000 Server atau, Windows 2003 Server, maka gunakan prosedur shutdown secara normal. Ini dimaksudkan untuk menjaga keutuhan database server dari kemungkinan besar rusak jika dimatikan secara kasar. Database ini sangat mungkin dibutuhkan oleh analis forensik dan investigator untuk investigasi lebih lanjut. Hal yang sama juga berlaku untuk komputer berbasis Linux. Prosedur shutdown juga bisa dilakukan lewat terminal dengan mengetikkan ‘shutdown -h now’ dalam posisi sebagai root. Hal yang sama juga diberlakukan untuk komputer Macintosh yang difungsikan sebagai server. Namun jika komputer Macintosh tersebut bukan server, maka dimatikanlah secara kasar seperti yang sudah dijelaskan di atas.

7. Bungkus barang bukti komputer tersebut, kemudian beri catatan di sisi luarnya untuk menandakan jenis komputer yang berada di dalam bungkusan tersebut. Untuk hal-hal yang sifatnya mendesak, bisa saja barang bukti komputer tersebut tidak dibungkus, namun tetap diberi catatan di sisi casing luarnya dengan menggunakan sticker label kosong.
8. Isi formulir penerimaan barang bukti. Tulis dengan jelas tanggal dan tempat TKP serta spesifikasi teknis dari masing-masing barang bukti elektronik dan ditandatangani oleh investigator dan analis forensik.
9. Bawa barang bukti komputer tersebut berikut catatan-catatan dan foto-fotonya ke laboratorium untuk pemeriksaan dan analisis lebih lanjut.

Ninin Arpiani (13142044) IF7BI

Dosen : SuryaYusra

Teknik informatika, Ilmu Komputer, Universitas Binadarma Palembang.

1. Pengantar komputer forensik

Forensik:
 
Forensik adalah sebuah proses ilmiah dalam mengumpulkan, menganalisis, dan menghandirkan berbagai bukti pada sidang pengadilan karna adanya kasus hukum. lalu, apa yang dimaksud dengan komputer foresik?
Berbeda dari pengertian forensik pada umumnya, dapat di artikan sebagai pengumpulan dan analisis data dasri berbagai sumber daya komputer yang mencakuo sistem komputer, jaringan komputer, jalur komunikasi, dan sebagai media penyimpanan yang layak untuk diajukan dalam sidang pengadilan.
Komputer forensik merupakan ilmu baru yang akan terus berkembang. ilmu ini didasari oleh beberapa bidang keilmuan lainya yang sudah ada. 
komputer forensik pun dapat dispesifikasi lagi menjadi beberapa bagian, seperti Disk Forensik, System Forensik, Network Forensik, dan Internet Forensik.
Pengetahuan Disk Forensik sudah terdokumentasi dangan baik dibandingkan dengan bidang forensik lainya. beberapa kasus yang dapat dilakukan dengan bantuan ilmi Disk Forensik antara lain mengambilkan file yang terhapus, mendapatkan password, menganalisis file Akses dan system atau Aplikasi Logs, dan sebagainya.

Tahapan-tahapan Pada Komputer Forensik :

1. Pengumpulan data
pengumpulan data bertujuan untuk mengidentifikasi berbagai sumber daya yang dianggap penting dan bagaimana semua data dapat terhimpun dengan baik.

2. Pengujian
Pengujian mencangkup proses penilaian dan meng-ekstrak berbagai informasi yang relevan dari semua data yang dikumpulkan. tahap ini juga mencangkup bypassing proses atau meminimalisasi berbagai feature sistem oprasi dan aplikasi yang dapat menghilangkan data, seperti kompresi, enkripsi, dan akses makanisme kontrol.
cangkupan lainya adalah mengalokasikan file, mengekstrak file, pemeriksanan meta dat, dan lain sebagainya.

3. Analisis 
dapat dilakukan dengan menggunakan pendekatan sejumlah metode.
untuk memberikan kesimpulan yang berkualitas harus didasarkan pada ketersedian sejumlah data atau bahkan sebaliknya, dengan menyimpulkan bahwa"tidak ada kesimpulan".Hal tersebut sangat dimungkinkan. Seperti indentifikasi user atau orang yang di luar pengguna yang terlibat secara tidak langsung, lokasi, perangkat, kejadian, dan mempertimbangkan bagaimana semua komponen  tersebut saling terhubung hingga mendapat kesimpulan akhir.

4. Dokumen dan laporan ada beberapa faktor yang mempengaruhi hasil dokumentasi dan laporan, seperti:

• Altenative Explanations (penjelasan Alternatif) Berbagai penjelasan yang akurat seharusnya dapat menjadi sebuah pertimbangan untuk diteruskan dalam proses reporting.
• Audience Consideration (Pertimbangan Penilik) Menghadirkan data atau informasi keseluruh audience sangat berguna. kasus yang melibatkan sejumlah aturan sangat membutuhkan laporan secara spesifik berkenan dengan informasi yang dikumpulkan. Selain itu dibutuhkan pula copy dari setiap fakta (evidentiary data) yang di peroleh. Contohnya, jika seorang Administrator Sistem sebuah jaringan sangat memungkinkan untuk mendapatkan dan melihat lebih dalam sebuah network traffic dengan informasi yang lebih detail.
• Actionable information proses dokumentasi dan laporan mencakup pula tentang indenfikasi actionable information yang didapat dari kumpulan sejumlah data terdahulu.

Ninin Arpiani (13142044) IF7BI
Dosen : Suryayusra
Teknik Informatika, Ilmu komputer, Universitas Binadarma palembang.