AKUISISI DIGITAL FORENSIK DENGAN FTK IMAGER

Universitas Bina Darma
Nama     :  Muhammad Isa
NIM       :  22142033P
Dosen     :  Suryayusra, M.Kom.
https://www.binadarma.ac.id

APA ITU AKUISISI?

    Pada proses yang dilakukan saat melakukan investigasi, salah satu cara yang dilakukan untuk mengungkapkan kejahatan siber adalah proses akuisisi. Akuisisi ini merupakan tahapan dimana pada proses pengolahan barang bukti digital yang berkaitan dengan media penyimpanan seperti Harddisk, Flashdisk, Sd-card memory, dan lain-lainnya, dilakukan proses ekstraksi dan duplikasi atau mengkloning barang bukti yang didapat sebelumnya, agar barang bukti tersebut bisa di analisa tanpa harus mengurangi keaslian dari barang bukti yang sebenarnya. Proses akuisisi memerlukan waktu yang cukup lama berdasarkan dari format yang ini dilakukan akuisisi dan tools yang digunakan. Karena proses ini sangatlah penting, maka investigasi harus berhati-hati pada saat melakukan proses akuisisi karena sifat data yang sangat rentan, mudah rusak, mudah hilang dan mudah untuk dimodifikasi.

    Ada beberapa metode untuk melakukan akuisisi data,
1. disk-to-disk copy
2. disk-to-image file
3. logical disk to disk file
4. Data yang jarang diakses dari file atau folder

    Proses akuisisi atau imaging ini dapat dilakukan dengan menggunakan beberapa software forensik, untuk dilakukan proses copy bit by bit pada sebuah media penyimpanan, tujuannya agar mendapatkan hasil yang sama dengan file atau media penyimpanan yang sudah diakuisisi sebelumnya. Agar investigator dapat menganalisa media penyimpanan tersebut tanpa merusak barang bukti aslinya, maka sangat diperlukannya proses akuisisi ini pada saat investigasi. Pada saat proses copy bit by bit, data-data seperti bootloader, free space, unallocated space, hidden data, dll. Itu semua akan dicopy ke media penyimpanan yang baru, untuk dianalisa, proses ini juga dapat mengumpulkan data atau file yang sudah terhapus sebelumnya untuk bisa direcovery.

FTK Imager

    FTK imager merupakan salah satu tools yang digunakan pada saat melakukan proses imaging yang berjalan pada sistem operasi Windows. Data yang diakuisisi dengan menggunakan tools ini, dapat terjamin keasliannya. FTK Imager akan melakukan proses copy bit by bit hingga semua data dan file akan tersalin semua.

    Sebelum melakukan proses imaging, kita perlu menginstallasi tools FTK Image dahulu, dan menyiapkan sebuah media penyimpanan yang ingin dilakukan proses akuisisi, seperti Flashdisk,Hdd, dll.

Langkah-langkah dalam menggunakan FTK Imager,
1. Download FTK-Imager pada https://www.exterro.com/ftk-product-downloads/ftk-imager-version-4-7-1, dan lakukan installasi sampai selesai.

2.Hubungkan Flashdisk atau File penyimpanan lainnya untuk dilakukan proses imaging.






3. Buka Aplikasi FTK-Imager, berikut tampilan aplikasi setelah dibuka.

















4. Klik tombol Add Evidence Item, dengan cara klik File, kemudian klik Add Evidence Item.

























5.Muncul beberapa pilihan source evidence type, yaitu: 
    -Physical Drive, digunakan untuk mengimage disk secara keseluruhan.
    -Logical Drive, digunakan untuk memilih partisi yang ingin kita imaging.
    -Image File, digunakan untuk mengkonversi image.
    -Contents of a Folder, digunakan untuk memilih file atau folder tertentu dan hanya untuk kebutuhan analisa saja.
    -Fernico Device (multiple CD/DVD), digunakan untuk mengimage CD/DVD.
Karena kita menggunakan flashdisk untuk proses imaging, kita pilih Physival Drive.

















6. Pilih drive mana yang akan kita lakukan proses imaging, pilih Flashdisk yang sudah kita hubungkan sebelumnya, dan klik Finish,
















7. Maka akan muncul hasil drive yang akan kita lakukan proses imaging.
















8. Kemudian klik File dan pilih Create Disk Image.
























9. Source Drive yang dipilih Physical Drive.


















10. Pilih lagi Flashdisk drive nya dan klik Finish.
















11. Klik tombol Add untuk mimilih lokasi hasil penyimpanan imaging.



















12. Karena kita membutuhkan hasil data mentah atau data yang belum diolah sama sekali, maka pilih Raw (dd) untuk hasil imagingnya, 















13. Selanjutnya mengisi data barang bukti pada evidance item information. Ketika semua informasi sudah terisi, klik tombol Next.


















14. Klik tombol Browse untuk memilih folder untuk hasil penyimpanan imaging. Pada bagian Image Filename, tulis nama untuk hasil file image nanti. Kemudian klik Finish.

















15. Pilih Image Destination yang sudah ditentukan tadi, dan pilih Start.


















16. Proses Imaging Flashdisk sedang berjalan.















17. Setelah proses telah berhasil dan Status berubah menjadi Image created successfully dan pilih Close.













18. Lalu proses verifying, setelah selesai maka proses imaging telah selesai dilakukan.













19. Setelah proses imaging telah selesai dilakukan, pastikan Computed Hash dan Report Hash pada MD5 Hash dan SHA1 Hash bernilai sama.















20. Hasil dari imaging dapat dilihat pada folder penyimpanan yang sudah kita tentukan sebelumnya.















21. Untuk melihat informasi dari file imager tersebut dapat dilihat pada filename-imager.001.txt.






















22. Proses Imaging telah selesai dilakukan, dan akan siap untuk dilakukan pemeriksaan selanjutnya.

Comments

  1. Sahabat ForensikMay 28, 2023 at 3:16 AM

    Ilmu yang sangat bermanfaat sekali ! Banyakin lagi min sharing-sharing seperti ini

    ReplyDelete

Post a Comment