Timestamp adalah urutan karakter, yang menunjukkan tanggal dan / atau waktu di mana peristiwa tertentu terjadi. timestamp adalah waktu di mana sebuah event dicatat oleh sebuah komputer, bukan waktu dari peristiwa itu sendiri. Dalam banyak kasus, perbedaannya mungkin tidak penting: waktu di mana suatu peristiwa direkam oleh sebuah timestamp (misalnya, menandatangani sebuah file log) harus sangat, sangat dekat dengan waktu terjadinya peristiwa tersebut dicatat.
Saat melakukan analisis forensik terhadap sebuah Sistem Operasi, sangat penting bagi seorang analis atau investigator untuk memiliki pemahaman tentang berbagai format waktu yang ada di dalam Sistem Operasi. Karena banyak yang harus dianalisa mencakup masalah timestamp pada berbagai artefak digital, seorang analis harus dapat jika diminta untuk melakukannya selama kesaksian. Dalam beberapa kasus, analis gagal dalam hal menjelaskan “kapan” sebuah file dibuat atau dimodifikasi atau diakses karena kurangnya pengetahuan mengenai timestamp ini.
Perlu diketahui juga bahwa timestamp ini juga digunakan pada saat melakukan analisis timeline dalam digital forensic. Olehnya itu mari kita lihat hal apa saja yang dapat merubah timestamp pada sebuah file. Untuk melihat timestamp, bisa dilihat dalam propertis file itu sendiri, untuk mencobanya saya membuat sebuah file baru dengan tipe file.Docx, dengan beberapa aktifitas yang dilakukan, saya mencoba untuk menganalisa, dan ternyata ada beberapa aktifitas yang merubah Timestampnya, berikut adalah tabel aktivitas dari uji coba file.
Dari hasil Uji coba diatas, terdapat beberap aktifitas yang merubah tipestamp, salah satunya adalah proses penggcopyan file, dan perubahan isi file.
sekian, terimakasih…
semoga bermanfaaat….
