Di dunia forensik, menjaga keutuhan dari barang bukti sangat amat diperhatikan, dikarenakan sedikit saja perubahan pada data, bisa menyebabkan data itu tidak valid. Sama halnya seperti digital forensik dimana data yang bersifat digital sangat sensitif terhadap perubahan.
Dan pada kali ini, kita akan membahas cara menyalin data pada tempat penyimpanan yang dikatakan suspect dengan sedemikian rupa dengan menggunakan FTK Imager. Teknik ini biasa dikatakan dengan istilah Forensic Acquisition dimana teknik ini akan menyalin data bit demi bit pada perangkat penyimpanan secara forensik (tentu dengan tujuan pengumpulan barang bukti).
Cara Akuisisi Forensik di Windows dengan FTK Imager
Pertama kita akan bahas skenario pada artikel kali ini, akan ada 2 folder images dan deleted images yang disimpan pada USB, lalu kita akan menghapus folder deleted images. Setelah itu kita akan lalukan akuisisi forensik dengan FTK Imager.
Berikut detail dari USB yang kita gunakan, dimana folder deleted images sudah dihapus hanya tertinggal folder images saja.
Dan nanti ada 3 Point besar yang akan dibahas, yaitu:
- Isi folder setelah meng-akuisisi data
- Isi teks dokumen hasil akuisisi data
- Apakah folder yang didelete sebelum akuisisi data dapat di recover?
Untuk detail dan speksifikasi yang digunakan,
Workstation
:- VM -> Windows 11 Pro x64 - 22000
- CPU -> Intel i5-7200U (usage, 2 CPU with 1 core per cpu)
- Storage -> SSD NVMe 256GB
suspect
:- USB 2.0 8GB
OK, kita langsung aja akuisisi perangkat si suspect,
buka FTK Imager File -> Create Disk Image
, nah disini bakal beberapa opsi tapi pada dasarnya yang
paling sering digunakan adalah Physical Drive, kenapa? Karena Physical dapat meng-recover data lebih
banyak dibandingkan opsi lainnya.
Physical
: Kita mengcopy semua data/informasi yang ada pada disk, bahkan part yang belum digunakan pun akan kita copy jugaLogical
: Ibaratkan partisi disk yang biasa kita gunakan, bisa aja kita melewatkan informasi yang tersembunyi. Bisa digunakan jika ukuran Disk terlalu besarImage
: Forensic copy terhadap file imageFolder
: bisa digunakan untuk meng-copy data yang ada pada folder, bisa dari cloud atau disk lainnyaCD/DVD
: kita meng-copy seluruh informasi dari CD/DVD terkait
Next
kita pilih Physical drive akan kita akuisisi, karena informasi yang kita akuisis ada pada
USB, maka kita pilih USB sesuai dengan type masing-masing.
Kemudian kita pilih Image Type E01
Raw
: Exact copy pada disk (biasa digunakan)Smart
: Jarang dipakai sih (mungkin bisa search sendiri :b)E01
: Expert Winess format, memiliki checksums pada raw data dan beberapa fitur yang dapat digunakanAFF
: format ini mulai jarang digunakan karena tidak banyak tools yang support dengan format ini
Untuk informasi Evidence, aumsi ini hard drive pertama misal kita isi 001
,
Unique Description
: kita deskripsi deskripsi USB Suspect seri/type dari USB bisa kita input juga, kemudianExaminer
: merupakan nama yang melakukan akuisisi,Notes
: bisa kita tambahi beberapa deskripsi
Lalu kita tentukan lokasi tempat data dari hasil copy tersebut, kita buat folder baru. Disini
saya membuat folder baru 001/Images/001
, kemudian untuk Image Filename gunakan code dari Case number
sebelumnya untuk identitas dan Image Fragment Size isi default 1500
Jangan pernah menyimpan hasil akuisisi data di storage
suspect
, usahakan beda hard drive dan kapasistas dari available disk >= dari size storage sisuspect
.
Setelah itu kita start dan akan memakan waktu beberapa menit untuk melakukan proses copy forensik, tergantung dari size storage si suspect.
Jika sudah, disini kita akan membahas beberapa point penting yang sudah disebutkan sebelumnya.
Isi folder setelah meng-akuisisi data
Jika kita lihat isi dari folder, ada terdapat beberapa file dan 1 dokumen, bagaimana hal ini bisa terjadi?
Cara kerjanya simple, FTK Imager akan melakukan forensik copy, dimana size dari storage suspect
akan
dibagi menjadi beberapa bagian dan size setiap partnya sesuai dengan Image Fragment Size yang dikonfigurasi
sebelumnya. Jika kita memilih format Raw (dd)
maka extension dari file akan menjadi .001 .002 ... .00n
atau seperti yang kita gunakan format E01
Expert Witness format maka extension dari file
akan menjadi .E01 .E02 ... .E0n
Isi teks dokumen hasil akuisisi data
hasil akuisisi berupa text merupakan hal yang sangat penting pada dunia forensik, pada bagian
teks akan menjelaskan mulai dari Versi FTK Imager yang digunakan
Case Information, kemudian informasi lokasi penyimpanan forensik copy, dan juga
Physical Evidentiary Item (Source) Information, dimana menjelaskan spesifikasi dari
storage si suspect
tersebut. Karna kita pilih format E01
kita akan mendapatkan hash
dimana ini bisa kita gunakan untuk memverifikasi data dari hasil barang bukti, sedikit saja perubahan
yang dilakukan pada image file, maka nilai hash pun akan berubah
Apakah folder yang didelete sebelum akuisisi data dapat di recover?
Bagi kalian baru memasuki dunia forensik dsb pasti berpikir bahwa itu mustahil evently kita menghapus folder tersebut secara permanen, tapi tidak ada salahnya kita mecoba xD
Ok, kita akan langsung mount dari hasil akuisisi tadi, buka FTK Imager
kemudian pilih File -> Add Evidence Item
Kemudian pada Source Evidence Type kita pilih Image File
Lalu browse ke folder yang sudah di akuisisi tadi, kemudian pilih file pertama, misal ada beberapa
file .E01 .E02 ... .E0n
kita pilih .E01
, begitu juga kalau formatnya raw .001 .002 ... .00n
kita pilih .001
Jika sudah, akan terlihat storage si suspect
yang sudah di copy secara forensik tadi.
Masuk ke folder root pada bagian tree folder.
Bisa lihat, bahwa folder deleted images
muncul dengan icon silang pada folder. Ini menandakan bahwa folder
itu sudah didelete sebelum kita melakukan Forensic Copy, apa filenya bisa kita restore? Tentu saja bisa xD
tinggal klik kanan dan Export Files
:b.
Sekian artikel dari saya semoga bermanfaat, Peace.