Forensic Aquisition di Windows dengan FTK Imager

Di dunia forensik, menjaga keutuhan dari barang bukti sangat amat diperhatikan, dikarenakan sedikit saja perubahan pada data, bisa menyebabkan data itu tidak valid. Sama halnya seperti digital forensik dimana data yang bersifat digital sangat sensitif terhadap perubahan.

Dan pada kali ini, kita akan membahas cara menyalin data pada tempat penyimpanan yang dikatakan suspect dengan sedemikian rupa dengan menggunakan FTK Imager. Teknik ini biasa dikatakan dengan istilah Forensic Acquisition dimana teknik ini akan menyalin data bit demi bit pada perangkat penyimpanan secara forensik (tentu dengan tujuan pengumpulan barang bukti).


Cara Akuisisi Forensik di Windows dengan FTK Imager

Pertama kita akan bahas skenario pada artikel kali ini, akan ada 2 folder images dan deleted images yang disimpan pada USB, lalu kita akan menghapus folder deleted images. Setelah itu kita akan lalukan akuisisi forensik dengan FTK Imager.

alt

Berikut detail dari USB yang kita gunakan, dimana folder deleted images sudah dihapus hanya tertinggal folder images saja.

alt

Dan nanti ada 3 Point besar yang akan dibahas, yaitu:
  • Isi folder setelah meng-akuisisi data
  • Isi teks dokumen hasil akuisisi data
  • Apakah folder yang didelete sebelum akuisisi data dapat di recover?

Untuk detail dan speksifikasi yang digunakan,

  • Workstation:
    • VM -> Windows 11 Pro x64 - 22000
    • CPU -> Intel i5-7200U (usage, 2 CPU with 1 core per cpu)
    • Storage -> SSD NVMe 256GB
  • suspect:
    • USB 2.0 8GB

OK, kita langsung aja akuisisi perangkat si suspect,

buka FTK Imager File -> Create Disk Image, nah disini bakal beberapa opsi tapi pada dasarnya yang paling sering digunakan adalah Physical Drive, kenapa? Karena Physical dapat meng-recover data lebih banyak dibandingkan opsi lainnya.

alt

  • Physical : Kita mengcopy semua data/informasi yang ada pada disk, bahkan part yang belum digunakan pun akan kita copy juga
  • Logical : Ibaratkan partisi disk yang biasa kita gunakan, bisa aja kita melewatkan informasi yang tersembunyi. Bisa digunakan jika ukuran Disk terlalu besar
  • Image : Forensic copy terhadap file image
  • Folder : bisa digunakan untuk meng-copy data yang ada pada folder, bisa dari cloud atau disk lainnya
  • CD/DVD : kita meng-copy seluruh informasi dari CD/DVD terkait

Next kita pilih Physical drive akan kita akuisisi, karena informasi yang kita akuisis ada pada USB, maka kita pilih USB sesuai dengan type masing-masing.

alt

Kemudian kita pilih Image Type E01

alt

  • Raw : Exact copy pada disk (biasa digunakan)
  • Smart : Jarang dipakai sih (mungkin bisa search sendiri :b)
  • E01 : Expert Winess format, memiliki checksums pada raw data dan beberapa fitur yang dapat digunakan
  • AFF : format ini mulai jarang digunakan karena tidak banyak tools yang support dengan format ini

Untuk informasi Evidence, aumsi ini hard drive pertama misal kita isi 001,

alt

  • Unique Description : kita deskripsi deskripsi USB Suspect seri/type dari USB bisa kita input juga, kemudian
  • Examiner : merupakan nama yang melakukan akuisisi,
  • Notes : bisa kita tambahi beberapa deskripsi

Lalu kita tentukan lokasi tempat data dari hasil copy tersebut, kita buat folder baru. Disini saya membuat folder baru 001/Images/001, kemudian untuk Image Filename gunakan code dari Case number sebelumnya untuk identitas dan Image Fragment Size isi default 1500

alt

Jangan pernah menyimpan hasil akuisisi data di storage suspect, usahakan beda hard drive dan kapasistas dari available disk >= dari size storage si suspect.

Setelah itu kita start dan akan memakan waktu beberapa menit untuk melakukan proses copy forensik, tergantung dari size storage si suspect.

alt

Jika sudah, disini kita akan membahas beberapa point penting yang sudah disebutkan sebelumnya.


Isi folder setelah meng-akuisisi data

Jika kita lihat isi dari folder, ada terdapat beberapa file dan 1 dokumen, bagaimana hal ini bisa terjadi? Cara kerjanya simple, FTK Imager akan melakukan forensik copy, dimana size dari storage suspect akan dibagi menjadi beberapa bagian dan size setiap partnya sesuai dengan Image Fragment Size yang dikonfigurasi sebelumnya. Jika kita memilih format Raw (dd) maka extension dari file akan menjadi .001 .002 ... .00n atau seperti yang kita gunakan format E01 Expert Witness format maka extension dari file akan menjadi .E01 .E02 ... .E0n

alt

Isi teks dokumen hasil akuisisi data

hasil akuisisi berupa text merupakan hal yang sangat penting pada dunia forensik, pada bagian teks akan menjelaskan mulai dari Versi FTK Imager yang digunakan Case Information, kemudian informasi lokasi penyimpanan forensik copy, dan juga Physical Evidentiary Item (Source) Information, dimana menjelaskan spesifikasi dari storage si suspect tersebut. Karna kita pilih format E01 kita akan mendapatkan hash dimana ini bisa kita gunakan untuk memverifikasi data dari hasil barang bukti, sedikit saja perubahan yang dilakukan pada image file, maka nilai hash pun akan berubah

alt

Apakah folder yang didelete sebelum akuisisi data dapat di recover?

Bagi kalian baru memasuki dunia forensik dsb pasti berpikir bahwa itu mustahil evently kita menghapus folder tersebut secara permanen, tapi tidak ada salahnya kita mecoba xD

Ok, kita akan langsung mount dari hasil akuisisi tadi, buka FTK Imager kemudian pilih File -> Add Evidence Item

alt

Kemudian pada Source Evidence Type kita pilih Image File

alt

Lalu browse ke folder yang sudah di akuisisi tadi, kemudian pilih file pertama, misal ada beberapa file .E01 .E02 ... .E0n kita pilih .E01, begitu juga kalau formatnya raw .001 .002 ... .00n kita pilih .001

alt

Jika sudah, akan terlihat storage si suspect yang sudah di copy secara forensik tadi. Masuk ke folder root pada bagian tree folder.

alt

Bisa lihat, bahwa folder deleted images muncul dengan icon silang pada folder. Ini menandakan bahwa folder itu sudah didelete sebelum kita melakukan Forensic Copy, apa filenya bisa kita restore? Tentu saja bisa xD tinggal klik kanan dan Export Files :b.

Sekian artikel dari saya semoga bermanfaat, Peace.