Judul: Forensik Digital, Uji Coba Pemulihan Kembali Data Menggunakan Alat Bantu

Forensik

Kelompok X:
Anggota 1: As'ad Arismadhani 5114201022
Anggota 2: I Nyoman Trisna Wirawan 5114201033

Pendahuluan
Forensik digital merupakan salah satu dari cabang ilmu forensik yang berkaitan dengan
penemuan bukti legal pada komputer dan media penyimpanan digital. Tujuan dari forensik digital
adalah untuk mengetahui dan menjelaskan mengenai keadaan dari suatu barang bukti yang berupa
perangkat digital. Perangkat yang dimaksud ini dapat berupa sistem komputer, media penyimpanan
seperti harddisk, dokumen elektronik atau bahkan sederetan paket data yang berpindah pada jaringan
komputer. Penyelidikan forensik dilakukan karena berbagai alasan diantaranya berkaitan dengan
investigasi kriminal, proses pengadilan dan berbagai macam situasi lainnya termasuk proses pelacakan
terhadap data yang mungkin dapat diambil kembali ketika data telah hilang. Pada proses investigasi ini
bisa didapatkan informasi mulai yang sekedar informasi yang bisa didapat hingga bagaimana urutan
suatu peristiwa bisa terjadi. Pada penelitian ini akan melakukan uji coba penggunaan alat bantu
forensik untuk mendapatkan kembali data yang hilang.
Pengujian ini dilakukan dengan fokus untuk mendapatkan kembali data yang hilang dari
barang bukti yaitu SD card. Pengujian juga dilakukan dengan menggunakan alat bantu forensik yang
sudah ada seperti yang terdapat pada paket instalasi Linux Kali, Caine, atau berupa alat bantu forensik
terpisah yang harus melalui proses instalasi awal terlebih dahulu.

Tools yang Digunakan

Pada percobaan ini kami melakukan proses persiapan yang dibutuhkan untuk melakukan uji
forensik terhadap barang bukti. Kami melakukan percoban dengan menggunakan 2 perangkat lunak
forensik yang berbeda, yaitu :
1. Testdisk, dengan menggunakan sistem operasi Linux Ubuntu 14.02.
2. PhotoRec, dengan menggunakan sistem operasi Windows 8.1.
Pada percobaan pertama, kami menggunakan alat batu forensik Testdisk untuk mendapatkan
kembali data yang hilang pada barang bukti. Percobaan ini dilakukan pada lingkungan Linux, dengan
menggunakan Linux Ubuntu versi 14.02. Adapun alasan mengapa sistem operasi ini digunakan karena
pada lingkungan Linux terdapat berbagai macam alat bantu forensik serta beberapa tutorial yang dapat
digunakan secara gratis.
Sedangkan pada percobaan kedua, kami menggunakan alat bantu forensik PhotoRec untuk
mendapatkan kembali data yang hilang pada barang bukti. Percobaan kali ini dilakukan pada
lingkungan Windows, dengan menggunakan versi Windows 8.1. Kami menggunakan sistem operasi
yang berbeda pada percobaan kedua dengan tujuan untuk membandingkan hasil uji antara percobaan
pertama dengan percobaan kedua.
Deskripsi Barang Bukti Digital
Barang bukti yang digunakan dalam proses forensik digital adalah data clone dari SD card
pada kamera yang digunakan untuk menyimpan beberapa foto yang terdapat diantaranya beberapa foto
yang telah dihapus. Data clone ini memiliki format EWF yang merupakan sebuah standar format clone
untuk barang bukti forensik digital. Beberapa data clone yang dilibatkan pada proses ini adalah
sebagai berikut :
1. nps-2009-canon2-gen1.E01
2. nps-2009-canon2-gen2.E01
3. nps-2009-canon2-gen3.E01
4. nps-2009-canon2-gen4.E01
5. nps-2009-canon2-gen5.E01
6. nps-2009-canon2-gen6.E01

Proses Forensik yang Dijalankan

Pada tahap ini dilakukan penyusunan skenario dari uji coba yang akan dilakukan. Pada uji
coba pertama dengan menggunakan alat bantu forensik Testdisk, akan dilakukan proses mounting
dengan menggunakan alat bantu bernama xmount. Alat bantu ini dapat diperoleh langsung pada
software center Ubuntu. Tahap mounting akan mengubah bentuk data clone dengan ekstensi .E01
kedalam sebuah direktori atau file dengan ekstensi .dd. File ini yang akan digunakan sebagai input
pada proses recovery data.
Proses recovery dilakukan dengan menggunakan bantuan alat bantu forensik Testdisk yang
dapat diperoleh langsung dari repositori Ubuntu. Testdisk merupakan salah satu alat bantu forensik
digital yang dapat digunakan untuk melakukan recovery terhadap beberapa file yang telah dihapus
dalam sebuah media penyimpanan.
Pada uji coba kedua, kami menggunakan alat bantu forensik PhotoRec. PhotoRec merupakan
sebuah aplikasi perangkat lunak yang berfungsi untuk mengembalikan data-data yang hilang. Data
yang hilangtersebut dapat berupa video, dokumen dan kumpulan data dari harddisk, CD-ROM, dan
gambar yang hilang dari media penyimpanan pada kamera digital. Proses recovery pada PhotoRec
akan dilakukan langsung oleh aplikasi dengan membaca file ekstensi .E01 tanpa melakukan proses
mounting dengan menggunakan perangkat lunak lain seperti pada uji coba pertama.
I. Testdisk
1. Tahap Mounting (EWF file)
Sebelum dapat melakukan recovery pada file images hasil clone dari SD card yang
digunakan, maka dile .E01 tersebut harus mengalami proses mounting terlebih dahulu sehingga
diharapkan nantinya dapat digunakan pada proses recovery. Proses mounting ini sendiri
dilakukan dengan menggunakan Xmount yang merupakan perangkat lunak yang tersedia secara
bebas pada software center ubuntu. Berikut ini merupakan beberapa langkah dalam penggunaan
xmount sehingga data hasil ekstraksi tersebut dapat digunakan dalam proses selanjutnya.
Xmount memungkinkan mengkonversi beberapa jenis input dari hasil clone harrdisk
atau media penyimpanan lainnya. Xmount menggunakan sistem file virtual yang dikenal dengan
nama FUSE (Filesystem Userspace) yang berisikan representasi virtual dari images hasil clone
(EWF) tersebut.
 Install Xmount.
Berdasarkan pada sistem operasi yang digunakan adalah Ubuntu sehingga Xmount
bisa didapatkan secara mudah dari software center dengan menggunakan keyword
xmount.
Lakukan mounting pada setiap file image dengan ekstensi .E01 di atas.
Masuk ke dalam direktori tempat image .E01 tersimpan.
Buat folder xmount pada direktori /mnt dengan menggunakan perintah berikut :
sudo mkdir /mnt/xmount
Berikutnya kita lakukan mounting image .E01 yang merupakan barang bukti ke
direktori /mnt/xmount dengan menggunakan perintah berikut:
sudo xmount --in ewf nama_file.E01 /mnt/xmount/
Perintah ini memberikan akses root untuk melakukan mouting terhadap file
nama_file.E01 kedalam direktori /mnt/xmount. Sehingga saat ini isi dari
images tersebut telah berhasil diekstrak secara virtual.
Kemudian selanjutnya pindah ke direktori /mnt/xmount tersebut dan lakukan ls l
untuk melihat informasi file yang berhasil diekstrak pada proses sebelumnya.
Terdapat 2 file yaitu nama_file.dd dan nama_file.info. nama _file berdasarkan pada
nama images yang kita gunakan pada proses sebelumnya.
Lakukan md5sum.
Md5sum dapat digunakan untuk memastikan integritas data. Hal ini dapat dilakukan
untuk memastikan bahwa tidak terdapat file yang kurang berubah atau ditambahkan
pada proses mounting sebelumnya. Md5sum dapat dilakukan dengan menggunakan
perintah berikut :
md5sum Windows7NTFS.dd
Lakukan pengecekan sektor.
Untuk melakukan mounting terhadap volume yang terdapat dalam image tersebut kita
harus mengetahui offset volume dalam image tersebut. Nilai offset volume tersebut
dapat diperoleh dengan menggunakan bantuin tool fdisk. Fdisk dapat memberikan
sektor awal dan sektor akhir dari setiap volume yang terdapat dalam image tersebut.
Fdisk dijalankan terhadap image dengan perintah sebagai berikut :
sudo fdisk -l nama_file.dd

Dari hasil yang diperoleh dapat dilahat bahwa device boot dengan nama file nps-2009-
canon2-gen1.dd berada pada start sektor 51 dan berakhir pada 60799 dengan 30374+
blok dengan filesystem FAT16. Informasi ini akan digunakan untuk melakukan
mounting terhadap volume yang terdapat dalam image tersebut.
 Mounting volume dalam DD file.
Pada tahap ini akan dilakukan mounting terhadap volume yang terdapat dalam hasil
clone media penyimpanan tersebut. Mounting dapat dilakukan dengan menggunakan
perintah berikut :
sudo mount -t ntfs -o ro,offset=26112 nama_file.dd /mnt/dd/
Perintah ini akan melakukan mount terhadap nama_file.dd dengan filesystem ntfs, flag
ro menyatakan bahwa hasil mouting bersifat read-only, /mnt/dd/ merupakan direktori
tujuan dari hasil mounting, dan offset merupakan informasi letak dari volume yang
harus di mount, offset ditentukan dala byte sehingga hasil start-sector yang diperoleh
dengan tools fdisk harus dikalikan 512 byte sehingga diperoleh nilai dalam byte yang
dapat menyatakan lokasinya. Sehingga berdasarkan pada hasil fdisk sebelumnya start
sektor adalah 51 sehingga jika dinyatakan dalam byte akan menjadi 51 x 512 byte =
26112 byte.
Setelah melewati setiap langkah tersebut pada semua image barangbukti yang
diberikan maka seluruh dari isi image tersebut telah tersimpat dalam folder xmount dan dd yang
telah diciptakan tadi. Berikutnya untuk melakukan recovery dari beberapa file yang telah
dihapus dalam image tersebut digunakan bantuan tools testdisk.
2. Tahap Recovery (testdisk)
Pada tahap ini akan dicoba dilakukan revocery terhadap beberapa file yang telah
dihapus. untuk melihat informasi tersebut digunakan tool testdisk. Untuk melihat informasi
yang terdapat dalam image nps-2009-canon2-gen1.dd makan dapat dilakukan dengan
menggunakan perintah berikut :
testdisk nps-2009-canon2-gen1.dd

Gambar diatas telihat bahwa terdapat sebuah volume disk dengan nama nps-2009-
canon2-gen1.dd dengan ukutan 31 MB. Jika ditelusuri lebih kedalam maka akan terdapat folder
100CANON yang menampung beberapa file gambar. Dalam kasus ini ditemukan beberpa file
yang telah dihapus dari image nps-2009-canon2-gen4.dd sebagai berikut :
 Pada gambar terlihat beberpa file yang ditandai dengan warna merah yang jika
diekstrak biasa kedalam direktori /mnt/dd pada tahap mounting sebelumnya tidak akan muncul.
Beberapa file dari volume ini dapat dikopi kembali menuju ke suatu folder, sehingga hasilnya
dapat dibantdingkan terhadap hasil ektrak biasa tanpa menggunakan testdisk. Hasil dari
perbandingan tersebut dapat dilihat sebagai berikut.

II. PhotoRec
Sistem file pada FAT, NTFS, ext2/ext3/ext4 menyimpan file pada blok-blok data (klaster-
klaster data). Ketika sebuah file dihapus, meta data dari file ini (nama file, date/time, ukuran, lokasi
dari blok/klaster pertama, dsb) ikut hilang. Contohnya pada sistem file ext3/ext4, nama file dari file
yang dihapus masih ada tetapi lokasi dari blok pertama sudah dihapus. Artinya, data dari file yang
dihapus sebenarnya masih ada hingga ada data baru yang menimpa pada blok/klaster dari data yang
lama.
Cara kerja PhotoRec yaitu dengan mencari ukuran data blok / klaster. Jika sistem file tidak
rusak, nilai ukuran ini dapat diperoleh dari superblock (ext2/ext3/ext4) atau volume boot record (FAT,
NTFS). Tetapi jika sistem file mengalami kerusakan, PhotoRec akan membaca media per sektor untuk
mencari 10 file pertama dimana dari 10 file ini akan dihitung ukuran dari blok / klaster dimna file itu
ditemukan. Ketika ukuran blok ini diketahui, PhotoRec membaca tiap-tiap blok dari media.
Ketika PhotoRec memulai proses recover file, maka proses ini akan menghentikan proses
recovery dari file itu, melakukan pengecekan konsistensi dari file dan memulai menyimpan file yang
ditemukan sebagai file baru. Jika data tidak terfragmentasi, maka ukuran hasil recovery akan identik
atau lebih besar dari ukuran file asli. Pada beberapa kasus, PhotoRec dapat mengetahui ukuran asli
dari file dengan membaca file header sehingga ukuran file hasil recovery bisa sama seperti ukuran
aslinya. Jika file yang didapat ternyata memiliki ukuran lebih kecil dari yang tertulis pada header file,
maka file tersebut akan dibuang.
 Recovery dengan menggunakan PhotoRec dapat dilakukan langsung tanpa menggunakan
alat bantu tambahan. Hanya saja sama seperti testdisk, PhotoRec masih menggunakan interface atau
tatap muka pengguna berupa command line. Berikut langkah-langkah proses recovery data
menggunakan PhotoRec.
1. Pemanggilan file
Proses pertama adalah melakukan pemanggilan file image .E01 dengan menggunakan
perintah :

Kemudian masuk ke modus pemilihan image yang akan diproses.

Pada gambar di atas, kami memilih other karena pada proses sebelumnya didapatkan
informasi bahwa sistem file dari image .E01 adalah FAT16.
2. Proses ekstraksi
Proses ini dilakukan untuk mengekstrak / mendapatkan data pada file image .E01.

Pada gambar di atas, menggunakan pilihan whole untuk mengekstrak seluruh file yang
masih dapat diselamatkan. Kemudian melakukan pemilihan folder yang akan digunakan
sebagai tempat untuk menampung file hasil ekstraksi.

Dua gambar di atas merupakan proses ekstraksi untuk mendapatkan file yang ada pada
image file .E01.
Hasil
Berdasarkan dari hasil pengujian, diperoleh hasil sebagai berikut :
1. PhotoRec
Pada uji coba dengan menggunakan alat bantu ini, didapatkan 2 hasil dengan jumlah
eksraksi yang berbeda. Untuk ekstraksi dengan ukuran file normal / besar, didapatkan
jumlah ekstraksi file 47. Sedangkan untuk ekstraksi dengan ukuran file thumbnail,
didapatkan jumlah ekstraksi file 51.
 2. Testdisk
Pada uji coba dengan menggunakan alat bantu ini, didapatkan 2 hasil dengan jumlah
eksraksi yang berbeda. Untuk ekstraksi didapatkan hanya pada file dengan ukuran normal
/ besar dengan jumlah file 51.

Kesimpulan
Forensik digital dalam kasus ini adalah recovery file gambar yang telah dihapus dari sebuah
file clone storage dengan nama nps-2009-canon2-gen1.E01 hingga nps-2009-canon2-gen6.E01. Untuk
melakukan recovery dari beberapa file clone storage memanfaatkan bantuan dari beberapa tools
xmout, fdisk, testdisk dan PhotoRec. Xmount merupakan tool yang digunakan untuk melakukan
ekstraksi atau mounting terhadap barang bukti dengan ekstensi .E01. Hasil dari xmount ini adalah
nama_file.dd dan nama_file.info. nama_file.dd inilah yang akan digunakan dalam proses forensik
untuk mengamati dan mengembalikan beberapa file yang telah dihapus. Untuk melakukan hal tersebut
dilakukan ekstraksi terhadap volume yang terdapat dalam nama_file.dd, informasi yang dibutuhkan
dari nama_file.dd adalah nilai offset dari volume yang akan diekstraksi sehingga untuk menemukan
hal tersebut digunakan fdisk yang memberikan informasi deviceboot, start sector, end sector, blok, dan
file system yang digunakan, sehingga dapat dilakukan ekstraksi terhadap volume yang terdapat dalam
image hasil clone barang bukti (nama_file.dd) tersebut. Sedangkan pada PhotoRec proses ekstraksi
dilakukan dengan memanggil file .E01 yang kemudian akan dilakukan ekstraksi oleh aplikasi
PhotoRec.
Referensi
[1] http://www.cgsecurity.org/wiki/Undelete_files_from_NTFS_with_TestDisk; pertama kali
diakses pada 08-03-2015.
[2] http://www.cgsecurity.org/wiki/PhotoRec; pertama kali diakses pada 09-03-2015.
[3] http://www.forensicswiki.org/wiki/Tools:Data_Recovery; pertama kali diakses pada 08-03-
2015.
[4] http://www.epyxforensics.com/node/36; pertama kali diakses pada 08-03-2015.