Langkah - Langkah Melakukan Akuisisi dan Pemeliharaan Cloning Hashing serta Klasifikasi Software Berdasarkan Tahapan Investigasi Menggunakan FTK Imager

Tugas Digital Forensic

1. Lakukan klasifikasi software berdasarkan tahapan investigasi dari akuisisi, pemeliharaan, analisis dan pelaporan?

a. Akuisisi/Pengumpulan

Tahap ini dilakukan dengan mengumpulkan atau mendapatkan bukti-bukti untuk mendukung dalam penyelidikan. Apabila sudah mendapatkan bukti, selanjutnya menidaklanjuti bukti yang telah ada sesuai dengan tujuannya. Media digital yang bisa dijadikan bukti yaitu media penyimpanan seperti flashdisk, harddisk, CD-ROM dan handphone, komputer, sms, email, dokumen. Barang bukti harus dicatat secara detail oleh petugas forensic. Tools yang dapat digunakan yaitu FTimes , liveview, netcat , ProDiscover DFT, webjob dll.

b. Pemeliharaan

Tahap ini memelihara, menyiapkan bukti-bukti yang ada dan melindungi bukti tersebut dari pihak-pihak tertentu. Saat diserahkan kepada ahli digital forensic, bukti harus benar-benar dalam keadaan steril atau belum mengalami proses apapun. Karena pada tahapan ini apabila ahli digital forensic melakukan kesalahan pada bukti digital kemungkinan tidak akan di akui oleh pengadilan, sehingga harus benar-benar berhati-hati pada barang bukti digital tersebut.

c. Analisis

Tahap ini melakukan analisa terhadap bukti-bukti yang ada. Bukti tersebut bisa ditelusuri melalui history pada media elektronik yang digunakan. Apabila telah menemukan maka selanjutnya melakukan recovery dengan mengembalikan apapun yang pernah dilakukan di media elektronik seperti file atau folder yang dihapus, email yang dihapus, membuat ulang partisi, dan seterusnya sesuai apa yang dituju.

Tools yang dapat digunakan untuk analisis media seperti ProDiscover DFT, TestDisk, Explore2fs sedangkan untuk analisis aplikasinya bisa menggunakan Galleta, md5deep, Pasco, Event Log Parses.

d. Pelaporan

Tahap ini menyajikan laporan secara detail saat penyelidikan dengan bukti yang telah dianalisa dan dapat dipertanggung jawabkan di pengadilan. Hal yang sangat penting dalam pelaporan sebagai berikut:

1) Tanggal dan waktu terjadinya pelanggarang dan saat investigasi

2) Permasalahan yang terjadi serta masa berlakunya analisa laporan

3) Bukti digital yang berharga

2. Lakukan tahapan akuisisi dilengkapi dengan screenshoot?

Pada langkah pertama pastikan telah menginstall FTK Imager, siapkan flashdisk atau hdd. Disini saya melakukannya dengan mengguanakan flashdisk.

Langkah-langkah :

a. Buka aplikasi FTK Imager

Gambar 2.1 Aplikasi FTK Imager

b. Pilih file => Creat Disk Image

Gambar 2.2 Create Disk Image

c. Saat di select the source evidence type pilih yang physical drive lalu next, karena menggunakan flashdisk

Gambar 2.3 Select Source Evidence Type

d. Pilih drive flashdisk, apabila sudah memilih lalu Finish dan akan muncul tampilan create image

Gambar 2.4 Select Drive

e. Di Select the Destination Image Type pilih Raw (dd) lalu next

Gambar 2.5 Select the Destination Image Type

f. Pada Evidence Item Information, isi informasi sesuai dengan apa yang di inginkan pada kolom yang tersedia

Gambar 2.6 Evidence Item Information

g. Select Image Destination, disini memilih dimana file akan disimpan, klik finish

Gambar 2.7 Select Image Destination

h. Selanjutnya klik start untuk memulai proses imaging

Gambar 2.8 Memulai Proses Imaging

i. Apabila sudah start tinggal menunggu proses sampai dengan selesai

Gambar 2.9 Proses Imaging

j. Klik Image Summary maka akan muncul yang berisis tentang informasi awal yang dimasukan serta data yang di flashdisk

Gambar 2.10 Image Summary

k. Hasil dari proses imaging pada flashdisk 8GB

Gambar 2.11 Hasil Imaging

3. Lakukan tahapan pemeliharaan cloning dan hashing lengkapi dengan screenshootnya.

Langkah-langkahnya:

a. Flasdisk di isi dengan beberapa folder

Gambar 3.1 Flashdisk

b. Buka FTK Imager => file => create disk image => Physical drive => pilih flashdisk, jika sudah pilih lalu finish

Gambar 3.2 Select Drive

c. Di create image klik add, lalu pilih E01

Gambar 3.3 Select Image Type

d. Pada Evidence Item Information isi informasi di kolom yang tersedia

Gambar 3.4 Evidence Item Information

e. Selanjutnya pilih image destination folder dan isi filenamenya

Gambar 3.5 Select Image Destination

f. Klik start pada create image untuk memulai proses cloning

Gambar 3.6 Memulai Proses Cloning

g. Tunggu proses cloning selesai

Gambar 3.7 Proses Cloning

h. Apabila sudah selesai, selanjutnya otomatis akan Verify

Gambar 3.8 Proses Verify

i. Setelah proses selesai akan muncul tampilan sepeti dibawah ini

Gambar 3.9 Hasil Cloning

j. Summary pada Cloning atau informasi awal saat kita memasukannya

Gambar 3.10 Summary Clonning

k. Hasil dari cloning

Gambar 3.11 Hasil dari Clonning

l. Untuk membuka file yang telah di hapus di flashdisk menggunakan hasil kloning yang extensi cloning bukti.E01. file => Add Evidence Item=> image file, selanjutnya pilih cloning bukti.E01 dan finish maka akan muncul di Evidence Tree. Agar dapat membaca atau membuka file tersebut harus di export terlebih dahulu.

Gambar 3.12 Mount Image Clonning Data

Referensi

Mutiara, Achmad Benny. 2007.”Panduan Komputer Forensik Dalam Penanganan Bukti Digital pada Personal Digital Assistants (PDA)”
Langkah Demi Langkah Melakukan Perfect Copy Menggunajan FTK Imager. https://www.i-3.co.id/langkah-demi-langkah-melakukan-perfect-copy-menggunakan-ftk-imager/