Forensic merupakan sebuah bidang yang digunakan untuk mencari jejak atau bukti dari
suatu kasus. Forensic, khususnya dalam bidang IT biasanya menggunakan banyak perangkat
(tool), baik itu perangkat keras ataupun perangkat lunak. Seiring dengan perkembangan zaman,
perangkat (tool) forensic semakin canggih, termasuk juga perangkat lunak yang bergerak
dalam IT Forensic. Pada zaman modern seperti sekarang sangat banyak perangkat lunak
forensic yang tersedia. Namun kali ini akan dibahas mengenai cara penggunaan salah satu
perangkat lunak forensic yang terdapat versi free licensinya, adapun perangkat lunak tersebut
adalah FTK. Penjelasan mengenai cara menggunakan FTK adalah sebagai berikut.
1. Penggunaan FTK Imager
Tool FTK pertama yang akan dibahas penggunaan adalah tool FTK imager. FTK
imager merupakan sebuah tool yang digunakan untuk membuat sebuah image dari barang bukti
yang didapatkan pada suatu kasus. Tujuan dari pembuat image barang bukti ini adalah untuk
menghindari pelacak kasus langsung pada barang bukti yang ditemukan, serta agar metadata
dari barang bukti yang ditemukan tidak berubah. Penjelasan mengenai penggunaan FTK
imager adalah sebagai berikut.
a. Pertama pastikan pada laptop yang digunakan untuk melakukan analisa telah terinstall
FTK imager serta barang bukti yang akan dianalisa telah tersedia (dalam kesempatan
ini saya menggunakan barang bukti berupa sebuah flashdisk).
b. Setelah semua hal yang diperlukan siap, selanjutnya buka aplikasi FTK imager,
kemudian untuk membuat image baru klik menu file, pilih create disk image. Langkah
ini dapat dilihat pada Gambar 1.1.
d. Setelah itu pilih drive flashdisk yang telah diterima sebagai barang bukti. Setelah selesai
klik finish. Langkah ini dapat dilihat pada Gambar 1.3.
f. Kemudian pilih jenis hasil image yang akan digunakan (disini saya menggunakan jenis
Raw (dd)), karena lebih aman, klik next untuk melanjutkan. Langkah ini dapat dilihat
pada Gambar 1.5.
g. Setelah itu isikan informasi terkait kasus yang akan diselesikan, kemudian klik next
untuk melanjutkan. Langkah ini dapat dilihat pada Gambar 1.6.
h. Setelah itu pilih lokasi untuk menyimpan hasil image dengan mengklik browse.
Langkah ini dapat dilihat pada Gambar 1.7.
Gambar 1.7 Memilih Lokasi Penyimpanan
Gambar 1.7 merupakan langkah untuk memilih lokasi penyimpanan hasil image barang
bukti pada FTK imager. Sesuai dengan Gambar 1.7 lokasi penyimpanan dipilih dengan
mengklik browse.
i. Pilih folder yang digunakan untuk menyimpan hasil image, lalu klik ok. Langkah ini
dapat dilihat pada Gambar 1.8.
k. Setelah itu mulai proses membuat image dengan mengklik start. Langkah ini dapat
dilihat pada Gambar 1.10.
m. Hasil dari proses yang telah selesai dapat dilihat pada Gambar 1.12.
c. Setelah itu isikan informasi umum dari kasus terkait, lalu pilih lokasi penyimpanan hasil
scanning, dan klik next untuk melanjutkan. Langkah ini dapat dilihat pada Gambar 2.2.
Gambar 2.2 Memberi Informasi Umum pada Kasus
Gambar 2.2 merupakan proses untuk memberi informasi umum kasus pada FTK toolkit.
Sesuai dengan Gambar 2.2 informasi umum tersebut adalah informasi nama kasus dan lokasi
penyimpanan hasil scanning.
d. Kemudian isikan nama terkait dengan investigator dari kasus tersebut, kemudian klik
next untuk melanjutkan. Contoh langkah ini dapat dilihat pada Gambar 2.3.
e. Kemudian pada bagian case log option centang semua bagian dan klik next untuk
melanjutkan. Langkah ini dapat dilihat pada Gambar 2.4.
f. Kemudian bagian process to perform centang semua dan klik next untuk melanjutkan.
Langkah ini dapat dilihat pada Gambar 2.5.
Gambar 2.5 Processes To Perform
Gambar 2.5 merupakan proses untuk memilih processes to perform. Sesuai dengan
Gambar 2.5 semua bagian processes to perform dicentang.
g. Kemudian pada bagian refine case default pilih jenis file yang ingin ditemukan
(misalnya semua jenis file, caranya dengan centang semua jenis file), kemudian klik
next untuk melanjutkan. Langkah ini dapat dilihat pada Gambar 2.6.
i. Kemudian pada bagian add evidence, klik add evidence untuk menambahkan barang
bukti yang ingin discan, kemudian karena barang buktinya berbentuk image klik
acquiered image of drive, dan klik continue untuk melanjutkan. Langkah ini dapat
dilihat pada Gambar 2.8.
Gambar 2.8 Menambah Barang Bukti
Gambar 2.8 merupakan proses untuk menambahkan barang bukti pada FTK toolkit.
Sesuai dengan Gambar 2.8 barang bukti ditambahkan pada bagian add evidence.
j. Setelah itu pilih barang bukti yang telah berbentuk image, kemudian kelik open untuk
membuka barang bukti pada FTK toolkit. Langkah ini dapat dilihat pada Gambar 2.9.
k. Setelah barang bukti berhasil dibuka, klik ok. Langkah ini dapat dilihat pada Gambar
2.10.
Gambar 2.10 Menyetujui Membuka Barang Bukti
Gambar 2.10 merupakan proses untuk menyetujui pembukaan barang bukti pada FTK
toolkit. Sesuai dengan Gambar 2.10 menyetujui pembukaan barang bukti dibuka dengan
mengklik ok.
l. Kemudian klik next untuk melanjutkan proses scanning. Langkah ini dapat dilihat pada
Gambar 2.11.
m. Kemudian klik finish untuk memulai proses scanning. Langkah ini dapat dilihat pada
Gambar 2.12.
n. Kemudian tunggu proses scanning hingga selesai. Langkah ini dapat dilihat pada
Gambar 2.13.
Gambar 2.13 Proses Scanning Barang Bukti
Gambar 2.13 merupakan proses scanning barang bukti pada FTK toolkit. Sesuai dengan
Gambar 2.13 proses scanning bertujuan untuk mencari setiap file yang terdapat pada hasil
imager barang bukti.
o. Lalu setelah proses scanning selesai, untuk membuat laporan hasil scanning dapat
dilakukan dengan mengklik file>report wizard. Langkah ini dapat dilihat pada Gambar
2.14.
p. Kemudian isikan data umum terkait informasi umum dari laporan, setelah selesai klik
next untuk melanjutkan. Langkah ini dapat dilihat pada Gambar 2.15.
Gambar 2.15 Memberi Informasi Umum pada Laporan
Gambar 2.15 merupakan proses untuk mengisi data umum laporan hasil scanning pada
FTK toolkit. Sesuai dengan Gambar 2.15 untuk melanjutkan proses dapat diklik next.
q. Kemudian isikan pilihan terkait dengan informasi bookmarks laporan, lalu klik next
untuk melanjutkan. Langkah ini dapat dilihat pada Gambar 2.16.