Akuisisi Disk (Logical dan Physical)

Menggunakan FTK Imager

MATA KULIAH : BUKTI
DIGITAL
DOSEN PENGAMPU : Yudi Prayudi S.Si., M.Kom

WISNU
PRANOTO
17917130

PRODI MAGISTER TEKNIK

INFORMATIKA FAKULTAS
TEKNOLOGI INDUSTRI UNIVERSITAS
ISLAM INDONESIA YOGYAKARTA
2017
 Apa itu akuisisi ? akuisisi merupakan proses pengelolaan barang bukti digital
yang berhubungan dengan media penyimpanan yaitu seperti hard disk/flash disk dan
lainnya. Proses akuisisi ini dilakukan untuk mengekstraksi dan menduplikasi atau
mengclone barang bukti yang akan didapat dalam suatu masalah sebagai objek agar
bisa dianalisis dan integrasi barang bukti yang didapat tidak mengalami perubahan
data.

Terdapat dua macam proses akuisisi terhadap barang bukti digital dalam tools
FTK Imager yaitu logical dan physical. Berikut adalah proses akuisisi menggunakan
FTK Imager :

1. Persiapan
a. Sebelum melakukan akuisisi maka ada langkah yang tidak dilupakan yaitu
mengaktifkan Write Blocker, yang dimaksud Write Blocker ini adalah tools agar
sistem operasi tidak bisa menulis data terhadap perangkat yang akan kita
lakukan proses akuisisi. Sehingga dapat menjaga keaslian dari barang bukti
tersebut.
b. Sebagai contoh uji coba barang bukti elektronik akan menggunakan flashdisk
yang telah disita.
c. Selanjutnya persiapkan FTK Imager, adalah tools yang dapat digunakan untuk
mengakuisisi suatu file barang bukti elektronik.
2. Proses Akuisisi

Sebelum memulai proses akuisisi pastikan terlebih dahulu bahwa Write

Blocker yang sudah dipersiapkan sebelumnya telah diaktifkan. Jika Write Blocker
telah aktif maka akan terlihat setatus Enabled ON di software tersebut seperti gambar
dibawah ini.
 Gambar 1 Tampilan Status Write Blocker

Setelah memastikan write blocker aktif, maka masuk ketahapan proses

akuisisi dapat dimulai dengan mengkoneksikan flash disk yang jadi barang bukti
tersebut ke komputer. Lalu setelah komputer mendeteksi adanya flash disk,
selanjutnya melakukan proses imaging dengan menjalankan software FTK Imager.
Seperti gambar dibawah ini.

Gambar 2 Tampilan Utama Tool FTK Imager

 Langkah awal untuk memeulai proses imaging yaitu klik menu File, kemudian
pilih Create Disk Image. Kemudian akan muncul dialog box yang baru.

- Logical Acquisisition

Pilih opsi Logical Drive karena akan memilih media penyimpanan yang akan
diakuisisi.

Gambar 3 Tampilan opsi dalam FTK Imager

Kemudian klik Next, setelah itu pilih media penyimpanan yang akan
diakuisisi. Dapat dilihat pada gambar di bawah.
 Gambar 4 Tampilan Media Penyimpanan yang Akan Dipilih

Pada gambar 4 di atas ada beberapa pilihan media penyimpanan seperti Drive
C:, D:, E:, dan lainnya. USB flash drive terdapat pada Drive F maka kita akan
memilih Drive F kemudian klik tombol Finish. Dapat dilihat pada gambar 5.

Gambar 5 Tampilan Memilih Tempat Penyimpanan Hasil Akuisisi

 Setelah itu klik tombol Add untuk memilih ekstensi file hasil dari proses
imaging, jangan lupa mencontreng pilihan Verify images after they are created, guna
untuk menghitung kode hash barang bukti dan hasil imaging kemudian mencocokkan
keduanya.

Kemudian muncul formulir informasi dan lokasi hasil dari proses imaging dari
barang bukti. Berikut proses akuisisi dapat dilihat pada gambar 6, 7, dan 8.

Gambar 6 Pilihan Ekstensi File Hasil Akuisisi

Pada gambar di atas pilih Raw DD untuk format hasil imaging. Setelah itu
isikan identitas barang bukti seperti gambar dibawah ini dan kemudian klik next.
 Gambar 7 Form Informasi Barang Bukti
Kemudian pilih lokasi folder yang akan dibuat nama file imaging. Lalu klik
Finish

Gambar 8 Memilih Lokasi Penyimpanan Hasil Imaging dan Nama File

 Langkah terakhir, klik Start untuk memulai imaging. Dan gambar dibawah ini
menunjukkan proses imaging sedang berjalan. Lalu tunggu hingga proses imaging
selesai seperti gambar di bawah ini.

Gambar 9 Proses Imaging Telah Selesai

Setelah proses imaging selesai, FTK Imaging akan memberikan laporan dan kode
Hash, MD5 dan SHA1 dari flash disk dan hasil akuisisinya. Jangan lupa untuk
mencatat kode hash dari hasil proses imaging yang telah diberikan dari FTK imager
agar mengetahui bahwa data nantinya tidak ada manipulasi.

- Physical Acquisition

Pilih Physical Drive karena akan melakukan imaging terhadap fisik dari
flashdisk.
 Gambar 11 Tampilan Opsi dalam FTK Imager

Kemudian klik Next, telah itu pilih flash disk yang digunakan. Pada uji coba
kasus ini menggunakan SanDisk Ultra USB Device 30 GB. Setelah itu klik Finish.

Gambar 12 Pilihan Flash Disk Yang Akan Diakuisisi

 Setelah itu klik Add untuk memilih ekstensi file hasil dari proses imaging,
formulir informasi, dan lokasi hasil imaging. Jangan lupa untuk menandai pilihan
Verify images after they are created, agar untuk menghitung kode hash barang bukti
dari hasil imaging. dapat dilihat pada gambar di bawah ini.

Gambar 13 Tampilan Pemilihan Tempat Penyimpanan Hasil Akuisisi

 Gambar 14 Tampilan Pemilihan Ekstensi File Hasil Imaging

Gambar 15 Tampilan Formulir Informasi Barang Bukti

Gambar 16 Tampilan Memilih Lokasi Penyimpanan Hasil Imaging Dan Nama File
 Dalam gambar 16 diatas tampak image Destination Folder (lokasi penyimpanan
hasil Imaging), image file name. jangan lupa dimana lokasi penyimpanan hasil
imaging yang lebih besar dari volume yang akan di akuisisi, dan pada pilihan Image
Fragment Size (isikan dengan nilai 0) agar hasil dari proses imaging tidak terpecah
menjadi beberapa bagian. Misalnya dalam uji coba kasus ini jika mengisi 1024 Mega
Byte, maka file hasil imaging akan berjumlah 8 dan seterusya. Lalu klik tombol finish.

Kemudian klik tombol start untuk memulai proses imaging seperti gambar di
bawah ini.

Gambar 17 Tampilan Untuk Memilih Proses Imaging

Lalu tunggu hingga proses imaging selesai dapat dilihat pada gambar di bawah
ini.
 Gambar 18 Proses Imaging Telah Selesai

Setelah proses imaging selesai, FTK akan menampilkan laporan dan kode
hash MD5 dan SHA1 flashdisk dan hasil akuisisinya. Jangan lupa untuk mencatat
kode hash, MD5 dan SHA1 yang telah ditampilkan oleh FTK Imager.
 Kesimpulan

Setiap metode akuisisi yang disediakan dalam tool FTK Imager yaitu metode
logical dan physical. Adapun perbedaannya yaitu

a. Logical Acquisition

Akuisisi logical, membuat image dari logical drive, berupa drive di komputer,
yaitu biasanya partisi A:, C:, D:, E:, dan lainnya. Bisa suatu hard disk dipartisi
menjadi 2 atau lebih logical drive, misalnya partisi C: untuk system dan D: untuk
data. jika membuat image dari logical berarti satu drive utuh termasuk bagian yang
tidak ada datanya. Dalam kata lain proses logical lebih simple, seperti proses
penggunaan data dari hasil proses akuisisinya yang bisa pilih.

b. Physical Acquisition

Akuisisi physical, membuat image dari physical drive biasanya berupa disk
apapun, dengan contoh kapasistas drive adalah 30 Giga Byte, maka image yang
dihasilkan juga akan memiliki ukuran sebesar 30 Giga Byte bisa dikatakan
Cloning dari data tersebut. Biasanya proses akuisisi mengunakan Physical ini
dilakukan untuk melihat apakah ada file-file yang sudah dihapus. Dalam arti lain
memeiliki space yang lebih dari logical yang dapat berfungsi sebagai cadangan
space yang dapat digunakan untuk menaruh informasi yang sudah terhapus untuk
dilakukan recovery.