Pernahkah anda belajar tentang forensik? Dalam dunia forensik integritas atau keaslian dari barang bukti adalah hal yang sangat penting, perubahan sedikit pada barang bukti dapat membuat barang bukti tersebut rusak atau tidak valid. Begitupun jika kita melakukan cyber forensik, jika ada perubahan sedikit dari data atau metadata suatu file, maka barang bukti tersebut tidak lagi valid.

*catatan: metadata adalah data dari sebuah data, atau informasi dari suatu informasi, contohnya adalah detail file dibuat, dimodifikasi, atau diaksesnya suatu file.

Ketika anda merubah 1 file notepad dengan hanya menambahkan spasi, maka hash file tersebut akan berubah:

Apabila anda melakukan copy dan paste file tanpa mengubah isi file maka hash akan sama, tetapi metadata lainnya akan berubah seperti di bawah, begitupun apabila kita save as.

Lalu bagaimana cara agar kita bisa mengambil barang bukti tanpa merubah metadata dari file tersebut?

FTK Imager adalah sebuah tools untuk melakukan preview dan pembuatan image yang dapat kita gunakan untuk melakukan pengujian barang bukti digital. FTK imager juga dapat melakukan perfect copy (image forensik) tanpa merubah data atau metadata dari bukti aslinya.

Cara membuat image dengan FTK Imager adalah sebagai berikut:

  1. Download dan install FTK Imager disini
  2. Setelah selesai install, klik File > Create Disk Image

  1. Pilih Source yang akan kita copy

  1. Pilih detail Drive yang kita pilih

  1. Setelah memilih drive yang akan dipilih, klik add di bagian image destination untuk menentukan hasil dari copy image yang kita lakukan

  1. Pilih tipe dari image yang akan kita buat

  1. Masukkan detail dari Drive yang akan kita buat imagenya

  1. Pilih nama image dan lokasi image akan dibuat

  1. Setelah semua proses selesai klik start untuk memulai proses imaging, untuk 1TB hardisk biasanya memakan waktu 11-12 jam

Berikut merupakan cara mounting image barang bukti digital dari image tersebut:

  1. Klik file > Add Evidence Item

  1. Pilih image yang akan dimount dalam bentuk apa

  1. Cari lokasi file tersebut

  1. Setelah dimount akan terlihat ada berapa jumlah partisi dan semua file didalamnya bisa dianalisa

  1. Dari hasil mounting image pun dapat dilihat profil user yang ada di dalam drive tersebut, dan isi filenya dapat kita ambil

  1. Pilih file yang akan dianalisa kemudian pilih export files

  1. Pilih lokasi file tersebut akan diexport

  1. Export sukses!

  1. File sudah diexport ke lokasi yang ditentukan

  1. Perfect copy berhasil, metadata dari file yang akan dianalisa masih sesuai data yang asli

Jika anda pengguna linux anda dapat menggunakan tools bernama Sleuth Kit, proses imaging dan mounting yang dilakukan pun nyaris sama.

Pada artikel ini hanya didemokan 1 dari banyak tools untuk melakukan forensik, pembelajaran lebih lanjut akan dibahas di kelas Computer Hacking Forensic Investigator (CHFI) yang memang berfokus di digital forensik.

Inovasi Informatika Indonesia (i3) merupakan authorize partner EC-Council yang menyediakan berbagai jenis kelas training dan sertifikasi di bidang keamanan (security), mulai dari tingkat fundamental sampai tingkat advance.

Info lebih lengkap tentang training yang tersedia di i3 dapat dibaca disini atau hubungi langsung tim sales kami.