5114201033
5114201033
Forensik
Kelompok X:
Anggota 1: As'ad Arismadhani 5114201022
Anggota 2: I Nyoman Trisna Wirawan 5114201033
Pendahuluan
Forensik digital merupakan salah satu dari cabang ilmu forensik yang berkaitan dengan
penemuan bukti legal pada komputer dan media penyimpanan digital. Tujuan dari forensik digital
adalah untuk mengetahui dan menjelaskan mengenai keadaan dari suatu barang bukti yang berupa
perangkat digital. Perangkat yang dimaksud ini dapat berupa sistem komputer, media penyimpanan
seperti harddisk, dokumen elektronik atau bahkan sederetan paket data yang berpindah pada jaringan
komputer. Penyelidikan forensik dilakukan karena berbagai alasan diantaranya berkaitan dengan
investigasi kriminal, proses pengadilan dan berbagai macam situasi lainnya termasuk proses pelacakan
terhadap data yang mungkin dapat diambil kembali ketika data telah hilang. Pada proses investigasi ini
bisa didapatkan informasi mulai yang sekedar informasi yang bisa didapat hingga bagaimana urutan
suatu peristiwa bisa terjadi. Pada penelitian ini akan melakukan uji coba penggunaan alat bantu
forensik untuk mendapatkan kembali data yang hilang.
Pengujian ini dilakukan dengan fokus untuk mendapatkan kembali data yang hilang dari
barang bukti yaitu SD card. Pengujian juga dilakukan dengan menggunakan alat bantu forensik yang
sudah ada seperti yang terdapat pada paket instalasi Linux Kali, Caine, atau berupa alat bantu forensik
terpisah yang harus melalui proses instalasi awal terlebih dahulu.
Dari hasil yang diperoleh dapat dilahat bahwa device boot dengan nama file nps-2009-
canon2-gen1.dd berada pada start sektor 51 dan berakhir pada 60799 dengan 30374+
blok dengan filesystem FAT16. Informasi ini akan digunakan untuk melakukan
mounting terhadap volume yang terdapat dalam image tersebut.
Mounting volume dalam DD file.
Pada tahap ini akan dilakukan mounting terhadap volume yang terdapat dalam hasil
clone media penyimpanan tersebut. Mounting dapat dilakukan dengan menggunakan
perintah berikut :
sudo mount -t ntfs -o ro,offset=26112 nama_file.dd /mnt/dd/
Perintah ini akan melakukan mount terhadap nama_file.dd dengan filesystem ntfs, flag
ro menyatakan bahwa hasil mouting bersifat read-only, /mnt/dd/ merupakan direktori
tujuan dari hasil mounting, dan offset merupakan informasi letak dari volume yang
harus di mount, offset ditentukan dala byte sehingga hasil start-sector yang diperoleh
dengan tools fdisk harus dikalikan 512 byte sehingga diperoleh nilai dalam byte yang
dapat menyatakan lokasinya. Sehingga berdasarkan pada hasil fdisk sebelumnya start
sektor adalah 51 sehingga jika dinyatakan dalam byte akan menjadi 51 x 512 byte =
26112 byte.
Setelah melewati setiap langkah tersebut pada semua image barangbukti yang
diberikan maka seluruh dari isi image tersebut telah tersimpat dalam folder xmount dan dd yang
telah diciptakan tadi. Berikutnya untuk melakukan recovery dari beberapa file yang telah
dihapus dalam image tersebut digunakan bantuan tools testdisk.
2. Tahap Recovery (testdisk)
Pada tahap ini akan dicoba dilakukan revocery terhadap beberapa file yang telah
dihapus. untuk melihat informasi tersebut digunakan tool testdisk. Untuk melihat informasi
yang terdapat dalam image nps-2009-canon2-gen1.dd makan dapat dilakukan dengan
menggunakan perintah berikut :
testdisk nps-2009-canon2-gen1.dd
Gambar diatas telihat bahwa terdapat sebuah volume disk dengan nama nps-2009-
canon2-gen1.dd dengan ukutan 31 MB. Jika ditelusuri lebih kedalam maka akan terdapat folder
100CANON yang menampung beberapa file gambar. Dalam kasus ini ditemukan beberpa file
yang telah dihapus dari image nps-2009-canon2-gen4.dd sebagai berikut :
Pada gambar terlihat beberpa file yang ditandai dengan warna merah yang jika
diekstrak biasa kedalam direktori /mnt/dd pada tahap mounting sebelumnya tidak akan muncul.
Beberapa file dari volume ini dapat dikopi kembali menuju ke suatu folder, sehingga hasilnya
dapat dibantdingkan terhadap hasil ektrak biasa tanpa menggunakan testdisk. Hasil dari
perbandingan tersebut dapat dilihat sebagai berikut.
II. PhotoRec
Sistem file pada FAT, NTFS, ext2/ext3/ext4 menyimpan file pada blok-blok data (klaster-
klaster data). Ketika sebuah file dihapus, meta data dari file ini (nama file, date/time, ukuran, lokasi
dari blok/klaster pertama, dsb) ikut hilang. Contohnya pada sistem file ext3/ext4, nama file dari file
yang dihapus masih ada tetapi lokasi dari blok pertama sudah dihapus. Artinya, data dari file yang
dihapus sebenarnya masih ada hingga ada data baru yang menimpa pada blok/klaster dari data yang
lama.
Cara kerja PhotoRec yaitu dengan mencari ukuran data blok / klaster. Jika sistem file tidak
rusak, nilai ukuran ini dapat diperoleh dari superblock (ext2/ext3/ext4) atau volume boot record (FAT,
NTFS). Tetapi jika sistem file mengalami kerusakan, PhotoRec akan membaca media per sektor untuk
mencari 10 file pertama dimana dari 10 file ini akan dihitung ukuran dari blok / klaster dimna file itu
ditemukan. Ketika ukuran blok ini diketahui, PhotoRec membaca tiap-tiap blok dari media.
Ketika PhotoRec memulai proses recover file, maka proses ini akan menghentikan proses
recovery dari file itu, melakukan pengecekan konsistensi dari file dan memulai menyimpan file yang
ditemukan sebagai file baru. Jika data tidak terfragmentasi, maka ukuran hasil recovery akan identik
atau lebih besar dari ukuran file asli. Pada beberapa kasus, PhotoRec dapat mengetahui ukuran asli
dari file dengan membaca file header sehingga ukuran file hasil recovery bisa sama seperti ukuran
aslinya. Jika file yang didapat ternyata memiliki ukuran lebih kecil dari yang tertulis pada header file,
maka file tersebut akan dibuang.
Recovery dengan menggunakan PhotoRec dapat dilakukan langsung tanpa menggunakan
alat bantu tambahan. Hanya saja sama seperti testdisk, PhotoRec masih menggunakan interface atau
tatap muka pengguna berupa command line. Berikut langkah-langkah proses recovery data
menggunakan PhotoRec.
1. Pemanggilan file
Proses pertama adalah melakukan pemanggilan file image .E01 dengan menggunakan
perintah :
Pada gambar di atas, kami memilih other karena pada proses sebelumnya didapatkan
informasi bahwa sistem file dari image .E01 adalah FAT16.
2. Proses ekstraksi
Proses ini dilakukan untuk mengekstrak / mendapatkan data pada file image .E01.
Pada gambar di atas, menggunakan pilihan whole untuk mengekstrak seluruh file yang
masih dapat diselamatkan. Kemudian melakukan pemilihan folder yang akan digunakan
sebagai tempat untuk menampung file hasil ekstraksi.
Dua gambar di atas merupakan proses ekstraksi untuk mendapatkan file yang ada pada
image file .E01.
Hasil
Berdasarkan dari hasil pengujian, diperoleh hasil sebagai berikut :
1. PhotoRec
Pada uji coba dengan menggunakan alat bantu ini, didapatkan 2 hasil dengan jumlah
eksraksi yang berbeda. Untuk ekstraksi dengan ukuran file normal / besar, didapatkan
jumlah ekstraksi file 47. Sedangkan untuk ekstraksi dengan ukuran file thumbnail,
didapatkan jumlah ekstraksi file 51.
2. Testdisk
Pada uji coba dengan menggunakan alat bantu ini, didapatkan 2 hasil dengan jumlah
eksraksi yang berbeda. Untuk ekstraksi didapatkan hanya pada file dengan ukuran normal
/ besar dengan jumlah file 51.
Kesimpulan
Forensik digital dalam kasus ini adalah recovery file gambar yang telah dihapus dari sebuah
file clone storage dengan nama nps-2009-canon2-gen1.E01 hingga nps-2009-canon2-gen6.E01. Untuk
melakukan recovery dari beberapa file clone storage memanfaatkan bantuan dari beberapa tools
xmout, fdisk, testdisk dan PhotoRec. Xmount merupakan tool yang digunakan untuk melakukan
ekstraksi atau mounting terhadap barang bukti dengan ekstensi .E01. Hasil dari xmount ini adalah
nama_file.dd dan nama_file.info. nama_file.dd inilah yang akan digunakan dalam proses forensik
untuk mengamati dan mengembalikan beberapa file yang telah dihapus. Untuk melakukan hal tersebut
dilakukan ekstraksi terhadap volume yang terdapat dalam nama_file.dd, informasi yang dibutuhkan
dari nama_file.dd adalah nilai offset dari volume yang akan diekstraksi sehingga untuk menemukan
hal tersebut digunakan fdisk yang memberikan informasi deviceboot, start sector, end sector, blok, dan
file system yang digunakan, sehingga dapat dilakukan ekstraksi terhadap volume yang terdapat dalam
image hasil clone barang bukti (nama_file.dd) tersebut. Sedangkan pada PhotoRec proses ekstraksi
dilakukan dengan memanggil file .E01 yang kemudian akan dilakukan ekstraksi oleh aplikasi
PhotoRec.
Referensi
[1] http://www.cgsecurity.org/wiki/Undelete_files_from_NTFS_with_TestDisk; pertama kali
diakses pada 08-03-2015.
[2] http://www.cgsecurity.org/wiki/PhotoRec; pertama kali diakses pada 09-03-2015.
[3] http://www.forensicswiki.org/wiki/Tools:Data_Recovery; pertama kali diakses pada 08-03-
2015.
[4] http://www.epyxforensics.com/node/36; pertama kali diakses pada 08-03-2015.