Tabel 3.1. Properti dataset file database File Pesan Utuh Pesan Terhapus Jenis Dataset mmssms1.db 10 Utuh mmssms2.db 20 Utuh mmssms3.db 30 Utuh mmssms4.db Unknown Terhapus mmssms5.db Unknown Terhapus mmssms6.db Unknown Terhapus mmssms7.db Unknown Unknown Test mmssms8.db Unknown Unknown Test mmssms9.db Unknown Unknown Test mmssms10.db Unknown Unknown Test Pada dataset utuh, terhapus dan test, hasil yang ditemukan akan ditampilkan berdasarkan dengan nomor pesan SMS tersebut, hasil proses ini bergantung pada proses yang terjadi sebelumnya pada file database tersebut seperti: proses overwriting atau vacuum procedure. File database yang sudah melakukan proses overwriting maupun vacuum procedure akan sangat sulit untuk menemukan pesan SMS yang telah dihapus karena kemungkinan sudah memiliki pola yang berbeda.

3.3. Pre Processing

Sebelum pencarian dilakukan, terlebih dahulu file database harus dapat ditemukan dalam keadaan utuh, sesuai dengan yang sudah dibahas sebelumnya file database yang berisi pesan SMS yang telah dihapus dapat dilihat dalam susunan bytes heksadesimal. Sehingga perlu untuk merubah data pesan SMS yang ada pada file database tersebut dalam bytes heksadesimal. Output pada tahap pre processing adalah file .txt yang menyimpan bytes heksadesimal file database. Proses pencarian dilakukan dengan menggunakan rangkaian string bytes heksadesimal yang disimpan pada file .txt tersebut untuk kemduain dijadikan sebagai hex string. 3.3.1. Image Making Image making dilakukan dengan tujuan untuk melakukan copy data secara keseluruhan dan menghindari kerusakan, perubahan atau hilangnya barang bukti. Data yang di copy berupa data yang ada pada direktori root. Image making dilakukan dengan menggunakan Nandroid Backup, Nandroid Backup merupakan fasilitas yang ada pada ClockWorkMod CWM, ClockWorkMod ini merupakan recovery mode yang sudah diatur sedemikian rupa dengan berbagai fungsi tambahan seperti backuprestore, instalasi dan lainnya yang tidak ada di recovery mode standar pada handphone Android. Nandroid Backup digunakan untuk membackup sistem ponsel, internal memori dan termasuk seluruh partisi penyimpanan dan menyimpannya ke dalam sdcard. Hasil backup berupa folder dengan nama sesuai tgl-bln-thn-jam saat melakukakn backup. File hasil backup dapat dilihat pada Tabel 3.2. File hasil backup tergantung pada partisi yang digunakan pada handphone Android. Output yang digunakan pada tahap selanjuntya adalah file image data.yaffs2.img yang berisi backup partisi data. Tabel 3.2. Properti hasil backup Nama File Jenis Keterangan .android_secure.vfat.tar File Tar File yang berisi backup aplikasi yang dipindahkan ke sdcard cache.yaffs2.img File Image File yang berisi backup partisi cache data.yaffs2.img File Image File yang berisi backup partisi data nandroid.md5 File MD5 File yang berisikan md5sum dari file image sd-ext.vfat.tar File Tar File yang berisi backup partisi sd-ext pada sdcard system.yaffs2.img File Image File yang berisi backup partisi file system 3.3.2. Extract Image File Ekstraksi file image dilakukan setelah melakukan proses backup terhadap file system. Ekstraksi dilakukan dengan menggunakan tool yang bernama unyaffs. Unyaffs merupakan sebuah program yang berfungsi untuk melakukan ekstraksi file dari sebuah yaffs file system image. Program ini menggunakan code license GNU GPL v2 yang dikembangkan oleh Kai.Wei.cn. Program ini cukup mudah untuk dijalankan, untuk sistem operasi linux program ini dijalankan dengan perintah: gcc -o unyaffs unyaffs.c untuk melakukan compile, sedangkan pada windows program ini dijalankan dengan perintah: unyaffs filename.img. Berdasarkan hasil backup terdapat tiga file yang berjenis yaffs file system image, yaitu: cache.yaffs2.img, data.yaffs2.img dan system.yaffs2.img, namun pada penelitian ini file yang digunakan hanya file image data.yaffs2.img untuk dilakukan ekstarksi. Karena pada file inilah tersimpan backup file database, partisi ini yang menyimpan seluruh data-data aplikasi yang ada handphone Android, seperti call logs, contact phone, browser history dan tentunya pesan SMS. Partisi yang dihasilkan dari data.yaffs2.img ini merupakan partisi data yang berisi data-data yang selalu berubah- ubah. Hasil direktori yang didapatkan setelah melakukan ekstarkasi dapat dilihat pada Tabel 3.3. Output pada tahap ini adalah file database mmssms.db yang menyimpan data pesan SMS, file ini tersimpan pada direktori data. Tabel 3.3. Hasil ekstraksi file image data.yaffs2.img Nama Keterangan anr Berisi stack traces debugging dari sistem app Berisi file apk yang diinstal dari market atau manual app-private Tempat penyimpanan protected apps dari Android Market backup Tempat untuk mengatur dan antrian backup crashsms Direktori yang menyimpan pesan SMS yang mengalami crash dalvik-cache Tempat penyimpanan file dex untuk dijalankan dalvik virtual machine. data Berisi file data aplikasi system maupun user. Seperti database sqlite. dontpanic Tempat untuk menyimpan beberapa erorr log file dari sistem drm Berisi file pengaturan terhadap anti-consumer copy etc Berisi file pengaturan terhadap system idd Berisi file pengaturan terhadap device local Tempat dimana pertama kali aplikasi diinstall dicopi lost+found Direktori yang muncul di beberapa tempat di YAFFS2 misc Direktori yang berisi file yang berkaitan dengan Blutooth, vpn 3.3.3. Generate Hex Values File database yang sudah didapat selanjutnya akan dilakukan proses generate hex values untuk mendapatkan nilai bytes heksadesimal. Hal ini berguna karena, pesan SMS yang dihapus tidak bisa dilihat kembali pada handphone maupun pada SQLite browser, pesan SMS yang telah dihapus hanya dapat dilihat melalui representasi dalam bentuk byte-byte heksadesimal. Berikut contoh pesan SMS pada bentuk byte- byte heksadesimal: 09 08 00 81 03 27 08 08 08 00 00 00 00 1F 2B 36 32 38 33 31 39 34 33 37 38 34 38 37 01 41 53 E0 02 9D FF 44 69 61 6E 2E 20 42 73 61 20 73 6D 61 20 6B 74 61 20 62 72 61 6E 67 6B 74 20 6D 61 69 6E 20 66 74 73 61 6C 3F 20 41 6B 20 67 6B 20 64 61 20 6B 65 6E 64 61 72 61 61 6E 20 6E 69 2B 36 32 38 33 31 35 30 30 30 30 33 32 48 82 50 16 00 01 29 00 05 08 08 09 01 09 08 00 2B 27 08 08 08 00 00 00 00 1F 2B 36 32 38 33 31 39 34 33 37 38 34 38 37 01 41 53 DB 63 31 FF 44 69 61 6E 2E 20 4B 77 20 64 6D 61 6E 61 3F 2B 36 32 38 33 31 35 30 30 30 30 33 32 50 82 4F 16 00 01 29 00 05 08 08 09 01 09 08 00 3D 25 08 08 08 00 00 Sebagaimana yang sudah dijelaskan pada bagian 2.3.2 pesan SMS yang masih utuh maupun yang sudah dihapus membentuk sebuah pola dalam representasinya dalam bentuk byte heksadesimal. Pola tersebut dikelompokan menjadi empat bagian, yaitu : bagian pertama adalah header, nomor pesan SMS, diikuti dengan waktu pesan SMS selanjutnya isi pesan SMS tersebut. Jika dilihat 08 08 08 merupakan header dari pesan SMS tersebut kemudian diikuti bytes acak 00 00 00 00 1F, selanjutnya 2B 36 32 38 33 31 39 34 33 37 38 34 38 37 ini merupakan nomor pesan SMS yang jika diubah dalam karakter ASCII menjadi +6283194378487, kemudian diikuti dengan 01 41 53 E0 02 9D, bagian ini merepresentasikan waktu pesan SMS, namun dengan apa yang sudah dijelaskan sebelumnya, bentuk ini harus diubah terlebih dahulu dalam bentuk desimal menjadi 1380091691677, pola ini merupakan pola waktu dalam bentuk Unix Epoch in milliseconds, jika diubah dalam pola waktu biasa maka didapatkan Rabu, 25 September 2013 13.48.11. Kemudian setelah itu diikuti dengan isi pesan SMS, jika dilihat maka byte heksadesimalnya adalah 44 69 61 6E 2E 20 42 73 61 20 73 6D 61 20 6B 74 61 20 62 72 61 6E 67 6B 74 20 6D 61 69 6E 20 66 74 73 61 6C 3F 20 41 6B 20 67 6B 20 64 61 20 6B 65 6E 64 61 72 61 61 6E 20 6E 69 dan jika diubah menjadi karakter ASCII adalah Dian. Bsa sma kta brangkt main ftsal? Ak gk da kendaraan ni. Begitu juga dengan seterusnya, pesan SMS yang masih utuh maupun yang sudah terhapus memiliki pola yang sama dalam representasi bytes heksadesimal. Ketika terdapat potongan ataupun bagian pesan SMS yang tidak memiliki pola yang dimaksud maka hal itu dapat diabaikan atau dihilangkan, karena mungkin saja database pesan SMS tersebut sudah melakukan prosedur vacuum. Rangkaian bytes heksadesimal inilah yang selanjutnya digunakan sebagai hex string dalam proses pencarian untuk dicocokan dengan hex pattern input generalisasi.

3.4. Main process