T1 672009608 Full text
ANALISA KOMPUTER FORENSIK
ARTIKEL ILMIAH
Diajukan kepada
Fakultas Teknologi Informasi
untuk Memperoleh Gelar Sarjana Komputer
Peneliti :
Rendi Zahrianto
672009608
Dr. Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Februari 2016
Analisa Komputer Forensik
1)
Rendi Zahrianto, 2) Dr. Irwan Sembiring, S.T., M.Kom.
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
Email : 1)[email protected] 2)[email protected]
Abstract
The rapid development of information technology today provides positive and negative
impacts for human life, especially in the field of computer. The positive impacts is not
requiring a lot of archives and documents easily copied, while the negative effects are
often missing documents due to a lot of possibilities, such as deleting a file by mistake. In
forensic science, to obtain a data that is lost it can be investigated by the methods of the
forensic lifecycle. With such methods do a comparison between the original digital
evidence and the evidence of the recovery of software autopsy, recuva, and magic
uneraser. The result of the original digital evidence of the recovery of software autopsy,
recuva, and magic uneraser changes. Comparisons between digital evidence format
result in a quick one format and three times in quick format is also different formats.
Keywords : computer forensic, recovery, autopsy, recuva, magic uneraser.
Abstrak
Pesatnya perkembangan dunia Teknologi Informasi pada saat ini memberikan dampak
positif dan dampak negatif bagi kehidupan manusia, khususnya di bidang komputer.
Dampak positifnya adalah tidak membutuhkan banyak tempat penyimpanan dokumen
dan dokumen mudah di copy, sedangkan dampak negatifnya adalah dokumen sering
hilang dikarenakan banyak kemungkinan, misalnya menghapus berkas secara tidak
sengaja. Dalam ilmu forensik, untuk mendapatkan sebuah data-data yang hilang maka
dapat dilakukan investigasi dengan metode the forensics lifecycle. Dengan metode
tersebut dilakukan perbandingan antara bukti digital original dan bukti hasil recovery dari
software autopsy, recuva, dan magic uneraser. Hasil dari bukti digital original dan bukti
hasil recovery dari software autopsy, recuva, dan magic uneraser mengalami perubahan.
Perbandingan antara bukti digital hasil satu kali format secara quick format dan tiga kali
format secara quick format juga berbeda.
Kata kunci : komputer forensik, recovery, autopsy, recuva, magic uneraser.
1)
Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya
Wacana Salatiga
2)
Staf Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga
1. Pendahuluan
Perkembangan dunia Teknologi Informasi pada saat ini memberikan
dampak positif dengan meningkatkan efektivitas kerja dan aktivitas sehari-hari
manusia. Di sisi lain, perkembangan Teknologi Informasi juga menimbulkan
dampak negatif yang tidak dapat dihindari. Segi positifnya adalah tidak
membutuhkan banyak tempat penyimpanan dokumen dan dokumen mudah di
copy, sedangkan segi negatifnya adalah seringnya dokumen hilang dikarenakan
banyak kemungkinan, misalnya menghapus berkas secara tidak sengaja.
Pada suatu instansi negara sering terjadi kehilangan data-data penting.
Dalam ilmu forensik untuk mendapatkan sebuah data-data yang hilang dapat
dilakukan investigasi dengan tahapan-tahapan untuk menemui titik terang dari
sebuah kasus awal dan akhir yang di mana terjadinya kehilangan data tersebut,
yaitu dengan memanfaatkan suatu tools untuk mendapatkan suatu informasi pada
data yang hilang. Dalam proses pencarian bukti berdasarkan metode dan tahapantahapan dapat memberikan gambaran kapan terjadinya kehilangan pada suatu
memori penyimpanan. Proses penerapan metode forensik tersebut untuk
membantu dalam menemui jejak waktu kapan terjadinya kehilang suatu data.
Peran pakar forensik di sini yaitu untuk membantu pencarian dalam menganalisa
barang bukti pada kasus kejahatan di bidang komputer.
Proses analisa dilakukan denagan memanfaatkan berkas-bekas yang didapat
dari hasil recovery dengan software yang digunakan. Proses analisa dilakukan
dengan berapa kali penghapusan pada memori penyimpanan sampai berapa
tingkat dan berapa persen akurasi yang terjadi dari hasil recovery tersebut
sehingga bukti digital yang didapat memberikan informasi yang real dan akurat
berdasarkan tingkatan berapa kali dalam penghapusan.
Berdasarkan permasalahan tersebut maka dilakukan pengumpulan bukti
digital dan meminimalisir fitur-fitur sebuah sistem aplikasi, menganalisa bukti
digital untuk dijadikan suatu bukti dalam mengungkapkan sebuah kasus.
2. Tinjauan Pustaka
Pada penelitian Chandara Irvan Dicky, penghilangan barang bukti digital
pada perangkat digital seperti menghapus dan merubah data sering dilakukan
untuk menutupi jejak kejahatan. Proses forensik untuk alat bukti digital pada
hardisk memerlukan teknis pembuktian tersendiri. Penelitian ini membahas
tentang penggunaan forensik Teknologi Informasi dalam menemukan bukti
kejahatan komputer pada perangkat hardisk sesuai dengan prosedur standar baku.
Tools forensic autopsy pada windows 7 digunakan sebagai alat bantu
implementasi tahapan forensik ini. Fasilitas pada tools forensik autopsy telah
dapat digunakan menunjukkan langkah-langkah penerapan forensik TI pada
hardisk dan mengembalikan data yang hilang beserta data dan informasi
pendukung yang dibutuhkan sesuai dengan sebuah skenario yang dirancang [1].
Pada penelitian Joshua M., barang bukti digital tersebut termasuk
handphone, notebook, server, alat teknologi apapun yang mempunyai media
penyimpanan dan dapat dianalisa. Jumlah kejahatan komputer, terutama yang
berhubungan dengan sistem informasi, akan terus meningkat karena kejahatan di
internet terbagi dalam berbagai versi. Salah satu versi menyebutkan bahwa
1
kejahatan ini terbagi dalam dua jenis, yaitu kejahatan dengan motif intelektual.
Biasanya jenis yang pertama ini tidak menimbulkan kerugian dan dilakukan untuk
kepuasan pribadi. Jenis kedua adalah kejahatan dengan motif politik, ekonomi,
atau kriminal yang potensial yang dapat menimbulkan kerugian bahkan perang
informasi.komputer forensik dapat diartikan sebagai pengumpulan dan analisis
data dari berbagai sumber daya komputer yang mencakup sistem komputer,
jaringan komputer, jalur komunikasi, dan berbagai media penyimpanan yang
layak untuk diajukan dalam sidang pengadilan. Komputer forensik banyak
ditempatkan dalam berbagai keperluan, bukan hanya untuk menangani beberapa
kasus kriminal yang melibatkan hukum, seperti rekonstruksi perkara insiden
keamanan komputer, upaya pemulihan kerusakan sistem, pemecahan masalah
yang melibatkan hardware ataupun software, dan dalam memahami sistem atau
pun berbagai perangkat digital agar mudah dimengerti. Komputer forensik
merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari oleh
beberapa bidang keilmuan lainnya yang sudah ada. Bahkan, komputer forensik
pun dapat dispesifikasi lagi menjadi beberapa bagian, seperti disk forensic, system
forensic, network forensic, dan internet forensic. Pengetahuan disk forensic sudah
terdokumentasi dengan baik dibandingkan dengan bidang forensik lainnya.
Beberapa kasus yang dapat dilakukan dengan bantuan ilmu disk forensik antara
lain mengembalikan file yang terhapus, mendapatkan password, menganalisis file
akses dan system atau aplikasi logs [2].
Komputer forensik merupakan praktek mengumpulkan, menganalisis dan
melaporkan data digital dengan cara yang secara hukum diterima. Hal ini dapat
digunakan dalam deteksi dan pencegahan kejahatan dan dalam setiap sengketa di
mana bukti disimpan secara digital. Komputer forensik mengikuti proses yang
sama dengan disiplin ilmu forensik lainnya, dan menghadapi masalah yang sama
[3].
Data recovery merupakan proses mengembalikan data dari kondisi yang
rusak, gagal, korup, atau tidak dapat diakses ke kondisi awal yang normal. Data
yang dikembalikan dapat dari harddisk, flashdisk dan media simpan lainnya
seperti kamera digital dan camera recorder. Kegiatan recovery atau pengembalian
data ini dapat dikarenakan kerusakan fisik dari piranti penyimpanan atau
kerusakan logis atau software yang memungkinkan sistem file tempat
tersimpannya data tersebut tidak dapat dikenal karena tidak terbaca dengan baik
oleh sistem operasi. Kasus kehilangan data yang paling banyak terjadi umumnya
adalah kegagalan logis, yaitu ketika sistem operasi gagal untuk mengenali sistem
file, baik disk, partisi atau karena sistem operasinya yang rusak [4].
Autopsy merupakan tools analisis dan investigasi bukti digital pada memori
penyimpanan dan file system windows [5]. Recuva merupakan sebuah program
yang membantu pengguna untuk mengembalikan semua file yang telah dihapus
atau tidak sengaja terhapus meskipun sudah terhapus juga di Recycle Bin [6].
Recuva juga dapat mengembalikan semua file yang hilang karena terkena virus,
worm, dan sejenisnya. Keunggulan recuva antara lain: (1) Mampu
mengembalikan data-data yang telah hilang atau terhapus. (2) Mendukung
berbagai jenis file seperti foto, dokumen, dan sebagainya. (3) Dapat digunakan
untuk flashdisk, harddisk, atau pun kartu memori. (4) Penggunaan mudah dan
2
simple. (5) Proses recovery data cepat. (6) Ukuran software kecil dan ringan
digunakan [6].
Bukti Digital merupakan informasi yang didapat dalam bentuk atau format
digital (Scientific Working Group on Digital Evidence) [7]. Beberapa contoh
bukti digital antara lain : e-mail address, file word processor dan spreadsheet,
source code perangkat lunak, file berbentuk image yang berekstensi (jpeg, tip,
etc), web browser bookmarks, cookies, kalender, to-do list. Bukti digital tidak
dapat langsung dijadikan barang bukti pada proses peradilan karena menurut sifat
alamiahnya bukti digital sangat tidak konsisten. Untuk menjamin bahwa bukti
digital dapat dijadikan barang bukti dalam proses peradilan maka diperlukan
sebuah standar data digital yang dapat dijadikan barang bukti dan metode standar
dalam pemrosesan barang bukti sehingga bukti digital dapat dijamin keasliannya
dan dapat dipertanggung jawabkan. Berikut adalah aturan standar barang bukti
digital agar dapat diterima dalam proses peradilan: (1) Data harus mampu
diterima dan digunakan demi hukum, mulai dari kepentingan penyelidikan sampai
dengan kepentingan pengadilan. (2) Bukti tersebut harus berhubungan dengan
kejadian atau kasus yang terjadi dan bukan direkayasa. (3) Bukti dapat dikatakan
bagus dan lengkap jika didalamnya banyak terdapat petunjuk yang dapat
membantu investigasi. (4) Bukti dapat mengatakan hal yang terjadi di
belakangnya, bukti tersebut dapat dipercaya dan mengarah, maka proses
investigasi akan lebih mudah. Syarat dapat dipercaya ini merupakan suatu
kewajiban dalam penangan perkara [7]. Untuk menjamin keempat syarat tersebut
terpenuhi, maka perlu adanya metode standar dalam pengambilan data untuk bukti
digital dalam pemrosesan barang bukti data digital. Dengan demikian, data yang
diperoleh dapat dijadikan barang bukti yang legal dipengadilan dan diakui oleh
hukum.
3. Metode Penelitian
Metode yang digunakan dalam penelitian ini adalah metode The Forensics
Lifecycle. Dimulai dari pengumpulan (collection), pengujian (examination),
analisa (analysis), laporan (reporting), seperti yang digambarkan dalam alur
metodologi berikut ini :
Gambar 1 Metode Penelitian The Forensics Lifecycle [8]
Pada tahap pertama yaitu tahap pengumpulan data. Pada tahap ini dilakukan
pengambilan bukti digital pada disk E:\, analisa bukti digital yang didapat pada
proses step 1 pengambilan image file pada disk menggunakan software autopsy
untuk mendapat informasi detail yang ada pada disk E:\ sehingga dapat
melanjutkan tahap analisa bukti digital yang ada pada disk E:\pada Gambar 2.
3
Gambar 2 Select local Disk
Gambar 2 menunjukkan step 1 select local disk dalam melakukan
pengambilan bukti pada local disk. Investigator dapat melakukan analisis dan
identifikasi konten dari bukti digital serta direktori, melakukan recovery, dan
analisis metadata.
Langkah selanjutnya adalah menganalisa bukti digital sesuai data-data yang
didapat oleh autopsy, bukti digital yang terdapat dalam disk E:\ dikelompokan
pada masing-masing extention (file doc, mp3, mp4, exe, dan jpg) pada Gambar 3.
Gambar 3 Hasil Analysis Disk E:\ pada Autopsy
Gamabar 3 menunjukkan pada sisi kiri menu file pada disk E:\ analysis
terdapat sebuah sub-menu, yaitu directory file system, table, file name search dan
all deleted files. Bukti digital yang ada didalam local disk E:\ yaitu berupa file
dokumen, mp3, mp4, exe, dan jpg.
Selanjutnya melakukan recovery bukti digital mengunakan software recuva.
Recovery data yang ada pada local disk E:\. Hasil recovery berupa data docx, mp3,
mp4, exe, dan jpg dapat dilihat pada Gambar 4.
4
Gambar 4 Hasil Recovery dengan Recuva
Pada gambar 4 menunjukkan hasil dari recovery mengunkan recuva, pada
sisi kiri menu filename pada disk E:\ analysis terdapat sebuah sub-menu, yaitu
filrname, path, last modified,size dan state. Bukti digital yang ada didalam local
disk E:\ yaitu berupa file dokumen, mp3, mp4, exe, dan jpg.
Langkah selanjutnya adalah melakukan recovery bukti digital mengunakan
software magic uneraser. Recovery data yang ada pada local disk E:\. Hasil
recovery berupa data doc, zip, mp3, mp4, exe, dan jpg dapat dilihat pada Gambar
5.
Gambar 5 Hasil Recovery dengan Magic Uneraser
Gambar 5 menunjukkan hasil recovery dengan software magic uneraser,
sub-menu yaitu name, type, size, prognesis, modified, created berdasarkan data
file bukti digital berupa file doc, rar, exe, video dan audio.
Selanjutnya menganalisa bukti digital sesuai data-data yang didapat oleh
kedua software, untuk setiap bukti digital yang didapat dari masing-masing
software recuva dan autopsy dikelompokan pada masing-masing extention (file
doc, mp3, mp4, exe, dan jpg) pada Gambar 6 berikut.
5
Gambar 6 Hasil Extract Bukti Output dari Autopsy
Gambar 6 menunjukkan hasil dari penggunaan autopsy untuk recovery data
dengan tipe file berekstensi doc, jpg, png, dan bmp. File yang berhasil extract
secara default oleh autopsy akan disimpan pada sebuah folder.
Selanjutnya analisa data digital dari tools autopsy atau media yang
merupakan barang bukti sangat perlu untuk dilakukan. Output yang dihasilkan
berupa informasi dari informasi yang ada akan menjadi dasar perbandingan untuk
proses investigasi selanjutnya. Dalam kasus ini hasil metadata dari sebuah file
dapat terlihat pada gambar 7.
Gambar 7 Informasi data File UU KK Newsletters.doc pada Autopsy
Gambar 7 merupakan tools data bukti digital yang diambil dari software
autospy pada file UK EE Newsletter.doc. Perbedaan antara bukti dari hasil
autopsy dapat dilihat dari date, name, size, access time, dan modifed time. Info
data filename UK EE Newsletter.docx, size 19046, creation Time 1/1/2016 16:32,
modification time 8/19/2015 23:42, access time 1/1/2016 00:00.
Setelah melakukan analisis terhadap data yang terdapat pada file,
investigator pihak berwajib akan mencoba untuk melakukan recovery terhadap
file-file yang terdapat didalam flashdisk Toshiba. Pada Gambar 8 menunjukkan
sintak hasil recovery file dengan menggunakan recuva.
6
Gambar 8 Informasi data File UU KK Newsletters.doc pada Recuva
Gambar 8 merupakan tools data bukti digital yang diambil dari software
recuva pada file UK EE Newsletter.doc. Perbedaan antara bukti dari hasil autopsy
dapat dilihat dari date, name, size, access time, dan modifed time. Info data
filename UK EE Newsletter.docx, size 18.5KB, creation time 1/1/2016 16:32,
modification time 8/19/2015 23:42, access time 1/1/2016 00:00.
Selanjutnya recovery menggunakan magic uneraser. Pengambilan bukti ini
untuk mendapatkan hasil perbandingan antara tools dari autopsy dan recuva
berdasarkan dari metode the forensics lifecycle. Hasil recovery file UU KK
Newsletters.doc menggunakan magic uneraser seperti pada Gambar 9.
Gambar 9 Informasi data file UU KK Newsletters.doc pada Magic Uneraser
Gambar 9 merupakan tools data digital evidance yang diambil dari software
magic uneraser pada file UK EE Newsletter.doc. Perbedaan antara bukti dari hasil
recuva dan autopsy dapat dilihat dari date, name, size, access time, dan modifed
time. Info data filename UK EE Newsletter.doc, size 18.6KB, creation time
1/1/2016 4:32, modification time 8/19/2015 11:40, access time 1/1/2016 00:00.
Analisa hasil recovery pada disk E:\ dilakukan berdasarkan hasil implementasi
software autopsy, recuva, dan magic uneraser.
7
Selanjutnya tahap reporting dari hasil recovery menggunakan software
autopsy, recuva, dan magic uneraser. Bukti digital berupa sebuah dokumen file
UK EE Newsletter.doc. Hasil yang diperoleh dari software autopsy memperoleh
info data filename UK EE Newsletter.docx, size 19046, creation time 1/1/2016
16:32, modification time 8/19/2015 23:42, access time 1/1/2016 00:00. Hasil yang
diperoleh dari software recuva memperoleh info data filename UK EE
Newsletter.docx, size 18.5KB, creation time 1/1/2016 16:32, modification time
8/19/2015 23:42, access time 1/1/2016 00:00. Sedangkan hasil yang diperoleh dari
software magic uneraser memperoleh info data filename UK EE Newsletter.doc,
size 18.6KB, creation time 1/1/2016 4:32, modification time 8/19/2015 11:40,
access time 1/1/2016 00:00.
4. Hasil dan Pembahasan
Bukti digital original dan bukti hasil recovery dari software autopsy, recuva,
dan magic uneraser dikelompokan pada tabel berikut:
Tabel 1 Bukti Digital Original
Name File
Size
Access Time
Creation Time
Modifed Time
UK EE Newsletter.Doc
18.5KB
12/25/2015
11:37
Bon Jovi.Mp3
5.44MB
-
Coldplay-Fix You .Mp4
69.6MB
-
Kurt Cobain.JPG
5.22MB
-
12/25/2015
11:37
12/25/2015
11:34
12/25/2015
11:35
12/25/2015
11:38
ALPlayer20.EXE
12.4MB
-
-
Activator windows 7.RAR
1.34MB
-
12/25/2015
11:35
8/19/2015
11:42
10/29/2010
9:26
8/25/2015
12:04
5/30/2015
12:26
10/18/2013
10:13
5/28/2015
09:08
Data bukti digital original di mana bukti tersebut belum dimanipulasi. File
UKK EE Newsletter.doc dengan size asli 18.5KB pernah diakses pada tanggal
12/25/2015 11:37, dibuat pada tanggal 12/25/2015 11:37, dan terakhir editing
8/19/2015 11:42. Hasil analisa bukti digital original dibandingkan berdasarkan
tabel hasil bukti dari recovery autopsy, recuva, dan magic uneraser.
8
Tabel 2 Hasil Recovery Menggunakan Autopsy
Name File
Size
f0000000.docx
18.4KB
f0000048.mp3
5.46MB
f0039408.mp4
69.6MB
f0182080.jpg
5.23MB
f0013968.exe
12.4MB
f0011200.rar
1.34MB
Access Time
Creation Time
Modifed Time
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 2 merupakan hasil recovery menggunakan autopsy pada file UK EE
Newsletter.doc. File name dokumen berubah menjadi f0000000.docx, file
terkontaminasi oleh sofware autopsy, size 18.5KB, access time berubah 1/1/2016
00:00, modified time 8/19/2015 23:42 direkam berdasarkan tahap-tahap metode
the forensics lifecycle.
Tabel 3 Hasil Recovery Menggunakan Recuva
Name File
Size
UK EE Newsletter.Doc
18.5KB
Bon Jovi.Mp3
5.44MB
Coldplay-Fix You .Mp4
69.6MB
Kurt Cobain.JPG
5.22MB
ALPlayer20.EXE
12.4MB
Activator windows 7.RAR
1.34MB
Access Time
Creation Time
Modifed Time
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 3 merupakan hasil recovery menggunakan recuva pada file UK EE
Newsletter.doc. Perubahan data dapat dilihat dari size, access time, dan modified
time 1/1/2016 00:00, 8/19/2015 23:42. Berdasakan investivigasi komputer
forensik menggunakan metode the forensics lifecycle, digital evidance yang ada
pada disk E:\ terdapat bukti digital pada disk, disk yang dinyatakan kosong
tersebut berhasil diinvestivigasi.
9
Tabel 4 Hasil Recovery Menggunakan Magic Uneraser
Name File
UK EE Newsletter.Doc
Size
18.6KB
Bon Jovi.Mp3
5.574MB
Coldplay-Fix You .Mp4
71.33MB
Kurt Cobain.JPG
5.35MB
ALPlayer20.EXE
12.71MB
Activator windows 7.RAR
1.38MB
Access Time
Creation Time
Modifed Time
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 4 merupakan hasil recovery menggunakan magic uneraser pada file
UK EE Newsletter.doc. Data berubah meliputi size, access time dan modified time
1/1/2016 00:00, 8/19/2015 23:42. Hal tersebut menandakan bahwa bukti sudah
dimanipulasi. Berdasakan investigasi komputer forensik menggunakan metode the
forensics lifecycle, digital evidance yang ada pada disk E:\ berhasil diinvestigasi.
Perbandingan dari hasil recovery menggunakan software autopsy, recuva,
dan magic uneraser sebagai berikut: (1) Bukti digital hasil dari recovery
menggunakan autopsy diteliti berdasarkan tools software yang digunakan, file
dokumen yang diteliti dengan tools autopsy dapat memberikan keterangan pada
toolsnya seperti, name, location, modifed time, change time, access time, create
time, size, flags (dir), flag (meta), mode, user ID, grup Id, meta adress, attr
adress, type (dir), tipe (meta), known, in hastsets, md5 hast, dan object Id. (2)
Bukti digital hasil dari recovery menggunakan recuva diteliti berdasarkan tools
software yang digunakan, file dokumen yang diteliti dengan tools recuva dapat
memberikan keterangan pada toolsnya seperti, filename, path, last modified, size,
state, dan comment. (3) Bukti digital hasil dari recovery menggunakan magic
uneraser diteliti berdasarkan tools software yang digunakan, file dokumen yang
diteliti dengan tools magic uneraser dapat memberikan keterangan pada toolsnya
seperti, name, type, size, status, modified, dan created. Berdasarkan perbandingan
tools yang ada pada sofware autopsy, recuva, dan magic uneraser dapat
disimpulkan bahwa menggunakan software autopsy lebih unggul daripada
menggunakan software recuva dan magic uneraser. Hal ini dikarenakan sofware
autopsy memiliki tools yang lebih lengkap dibandingkan dengan tools yang ada
pada software recuva dan magic uneraser.
Setelah melakukan hasil recovery menggunakan software autopsy, recuva,
dan magic uneraser, langkah selanjutnya adalah melakukan format pada disk E:\.
Berikut ini merupakan hasil dari tiga kali format pada disk E:\ dapat dilihat pada
Tabel 5.
10
Tabel 5 Hasil dari Tiga Kali Format pada Disk E:\
Name File
UK EE Newsletter.Doc
Size
18.9KB
Bon Jovi.Mp3
5.576MB
Coldplay-Fix You .Mp4
71.31MB
Kurt Cobain.JPG
5.39MB
ALPlayer20.EXE
12.71MB
Activator windows 7.RAR
1.33MB
Access Time
Creation Time
Modifed Time
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 5 merupakan data bukti digital hasil dari recovery dari disk E:\. Pada
disk E:\ dilakukan tiga kali proses format di mana cara format disk secara quick
format sehingga dapat diketahui perbedaan antara hasil satu kali format dengan
quick format antara empat kali format dengan quick format pada disk E:\. Hasil
perbedaan dapat dilihat dari size, access time, creation time, dan modified time.
5. Simpulan
Berdasarkan hasil analisa dan perbandingan bukti digital, maka dapat
disimpulkan sebagai berikut: (1) Analisa yang dilakukan dengan software autopsy
bukti digital yang terdapat pada disk E:\, bukti digital disimpulkan bahwa bukti
tersebut berubah. Hal ini dapat dilihar dari perubahan pada status name file dan
size. (2) Hasil analisa yang dilakukan dengan software recuva, bukti digital yang
terdapat pada disk E:\ bukti file disimpulkan bahwa file dokumen masih utuh,
namun size dokumen bertambah. (3) Hasil analisa yang dilakukan dengan
software magic uneraser menggunakan metode the forensics lifecycle pada
penelitian ini, berdasarkan tools dapat disimpulkan bahwa bukti digital tidak
sesuai dengan bukti original. Hal ini dapat dilihat dari adanya perubahan pada
acces time, modified time, dan size file. (4) Perbandingan antara bukti digital hasil
satu kali format secara quick format dan tiga kali format secara quick format
berbeda. Hal ini dapat dilihat dari size dokumen pada hasil satu kali format secara
quick format adalah 18.6KB, sedangkan size dokumen pada hasil tiga kali format
secara quick format adalah 18,9KB. (5) Terdapat perbedaan antara format secara
quick format dengan format secara default. Perbedaannya adalah pada quick
format proses format cepat dan masih menyimpan file hasil dari penghapusan
sedangkkan format secara default proses finish format lama dan data file dari
penghapusan bersih dari memori.
6. Saran
Saran yang diusulkan sebagai upaya pertimbangan dan pemikiran antara
lain: Untuk mempermudah dalam penacarian bukti digital mengunakan metode
the forensics lifecycle berdasarkan analisa yang dilakukan sebaiknya
11
menggunakan skenario yang lebih, serta analisa yang lebih detail dengan metodemetode lebih dalam.
7. Daftar Pustaka
[1] Dicky, Chandara Irvan, 2011, Analisis Forensik Teknologi Informasi dengan
Barang Bukti Harddisk.
[2] Sinambela, Joshua M., 2012. Analisa Digital Forensik pada Kasus Kejahatan.
[3] Carrigan,Bob,2015,
Komputer
Forensik
[Online],
https://forensiccontrol.com/resources/beginners-guide-computerforensics/.com.Diakses pada tanggal 12 Desember 2015.
[4] Susanto, P, 2006, Analisis Data Recovery.
[5] Kunang, Yesi Novaria, 2013, Membuka Case Baru dengan Autopsy.
[6] Securityin-a-box, 2015, Mendapatkan File Kembali dengan Recuva [Online].
https://info.securityinabox.org/id/recuva.com. Diakses pada tanggal 15
Desember 2015.
[7] Darmawan,
Dian,
2012,
Barang
Bukti
Digital
[Online].
https://diandermawan.wordpress.com/2012/02/12/barang-bukti-digital.com.
Diakses pada tanggal 15 Desember 2015.
[8] Ramadhan, Zuhri, 2011, Digital Forensik dan Pasca Penangan Insiden
Menggunakan Metode The Forensics Lifecycle, Jurnal Fakultas Teknik
UNPAB Medan, Vol. 4 No. 1 Juni 2011.
12
ARTIKEL ILMIAH
Diajukan kepada
Fakultas Teknologi Informasi
untuk Memperoleh Gelar Sarjana Komputer
Peneliti :
Rendi Zahrianto
672009608
Dr. Irwan Sembiring, S.T., M.Kom.
Program Studi Teknik Informatika
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Februari 2016
Analisa Komputer Forensik
1)
Rendi Zahrianto, 2) Dr. Irwan Sembiring, S.T., M.Kom.
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
Email : 1)[email protected] 2)[email protected]
Abstract
The rapid development of information technology today provides positive and negative
impacts for human life, especially in the field of computer. The positive impacts is not
requiring a lot of archives and documents easily copied, while the negative effects are
often missing documents due to a lot of possibilities, such as deleting a file by mistake. In
forensic science, to obtain a data that is lost it can be investigated by the methods of the
forensic lifecycle. With such methods do a comparison between the original digital
evidence and the evidence of the recovery of software autopsy, recuva, and magic
uneraser. The result of the original digital evidence of the recovery of software autopsy,
recuva, and magic uneraser changes. Comparisons between digital evidence format
result in a quick one format and three times in quick format is also different formats.
Keywords : computer forensic, recovery, autopsy, recuva, magic uneraser.
Abstrak
Pesatnya perkembangan dunia Teknologi Informasi pada saat ini memberikan dampak
positif dan dampak negatif bagi kehidupan manusia, khususnya di bidang komputer.
Dampak positifnya adalah tidak membutuhkan banyak tempat penyimpanan dokumen
dan dokumen mudah di copy, sedangkan dampak negatifnya adalah dokumen sering
hilang dikarenakan banyak kemungkinan, misalnya menghapus berkas secara tidak
sengaja. Dalam ilmu forensik, untuk mendapatkan sebuah data-data yang hilang maka
dapat dilakukan investigasi dengan metode the forensics lifecycle. Dengan metode
tersebut dilakukan perbandingan antara bukti digital original dan bukti hasil recovery dari
software autopsy, recuva, dan magic uneraser. Hasil dari bukti digital original dan bukti
hasil recovery dari software autopsy, recuva, dan magic uneraser mengalami perubahan.
Perbandingan antara bukti digital hasil satu kali format secara quick format dan tiga kali
format secara quick format juga berbeda.
Kata kunci : komputer forensik, recovery, autopsy, recuva, magic uneraser.
1)
Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya
Wacana Salatiga
2)
Staf Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga
1. Pendahuluan
Perkembangan dunia Teknologi Informasi pada saat ini memberikan
dampak positif dengan meningkatkan efektivitas kerja dan aktivitas sehari-hari
manusia. Di sisi lain, perkembangan Teknologi Informasi juga menimbulkan
dampak negatif yang tidak dapat dihindari. Segi positifnya adalah tidak
membutuhkan banyak tempat penyimpanan dokumen dan dokumen mudah di
copy, sedangkan segi negatifnya adalah seringnya dokumen hilang dikarenakan
banyak kemungkinan, misalnya menghapus berkas secara tidak sengaja.
Pada suatu instansi negara sering terjadi kehilangan data-data penting.
Dalam ilmu forensik untuk mendapatkan sebuah data-data yang hilang dapat
dilakukan investigasi dengan tahapan-tahapan untuk menemui titik terang dari
sebuah kasus awal dan akhir yang di mana terjadinya kehilangan data tersebut,
yaitu dengan memanfaatkan suatu tools untuk mendapatkan suatu informasi pada
data yang hilang. Dalam proses pencarian bukti berdasarkan metode dan tahapantahapan dapat memberikan gambaran kapan terjadinya kehilangan pada suatu
memori penyimpanan. Proses penerapan metode forensik tersebut untuk
membantu dalam menemui jejak waktu kapan terjadinya kehilang suatu data.
Peran pakar forensik di sini yaitu untuk membantu pencarian dalam menganalisa
barang bukti pada kasus kejahatan di bidang komputer.
Proses analisa dilakukan denagan memanfaatkan berkas-bekas yang didapat
dari hasil recovery dengan software yang digunakan. Proses analisa dilakukan
dengan berapa kali penghapusan pada memori penyimpanan sampai berapa
tingkat dan berapa persen akurasi yang terjadi dari hasil recovery tersebut
sehingga bukti digital yang didapat memberikan informasi yang real dan akurat
berdasarkan tingkatan berapa kali dalam penghapusan.
Berdasarkan permasalahan tersebut maka dilakukan pengumpulan bukti
digital dan meminimalisir fitur-fitur sebuah sistem aplikasi, menganalisa bukti
digital untuk dijadikan suatu bukti dalam mengungkapkan sebuah kasus.
2. Tinjauan Pustaka
Pada penelitian Chandara Irvan Dicky, penghilangan barang bukti digital
pada perangkat digital seperti menghapus dan merubah data sering dilakukan
untuk menutupi jejak kejahatan. Proses forensik untuk alat bukti digital pada
hardisk memerlukan teknis pembuktian tersendiri. Penelitian ini membahas
tentang penggunaan forensik Teknologi Informasi dalam menemukan bukti
kejahatan komputer pada perangkat hardisk sesuai dengan prosedur standar baku.
Tools forensic autopsy pada windows 7 digunakan sebagai alat bantu
implementasi tahapan forensik ini. Fasilitas pada tools forensik autopsy telah
dapat digunakan menunjukkan langkah-langkah penerapan forensik TI pada
hardisk dan mengembalikan data yang hilang beserta data dan informasi
pendukung yang dibutuhkan sesuai dengan sebuah skenario yang dirancang [1].
Pada penelitian Joshua M., barang bukti digital tersebut termasuk
handphone, notebook, server, alat teknologi apapun yang mempunyai media
penyimpanan dan dapat dianalisa. Jumlah kejahatan komputer, terutama yang
berhubungan dengan sistem informasi, akan terus meningkat karena kejahatan di
internet terbagi dalam berbagai versi. Salah satu versi menyebutkan bahwa
1
kejahatan ini terbagi dalam dua jenis, yaitu kejahatan dengan motif intelektual.
Biasanya jenis yang pertama ini tidak menimbulkan kerugian dan dilakukan untuk
kepuasan pribadi. Jenis kedua adalah kejahatan dengan motif politik, ekonomi,
atau kriminal yang potensial yang dapat menimbulkan kerugian bahkan perang
informasi.komputer forensik dapat diartikan sebagai pengumpulan dan analisis
data dari berbagai sumber daya komputer yang mencakup sistem komputer,
jaringan komputer, jalur komunikasi, dan berbagai media penyimpanan yang
layak untuk diajukan dalam sidang pengadilan. Komputer forensik banyak
ditempatkan dalam berbagai keperluan, bukan hanya untuk menangani beberapa
kasus kriminal yang melibatkan hukum, seperti rekonstruksi perkara insiden
keamanan komputer, upaya pemulihan kerusakan sistem, pemecahan masalah
yang melibatkan hardware ataupun software, dan dalam memahami sistem atau
pun berbagai perangkat digital agar mudah dimengerti. Komputer forensik
merupakan ilmu baru yang akan terus berkembang. Ilmu ini didasari oleh
beberapa bidang keilmuan lainnya yang sudah ada. Bahkan, komputer forensik
pun dapat dispesifikasi lagi menjadi beberapa bagian, seperti disk forensic, system
forensic, network forensic, dan internet forensic. Pengetahuan disk forensic sudah
terdokumentasi dengan baik dibandingkan dengan bidang forensik lainnya.
Beberapa kasus yang dapat dilakukan dengan bantuan ilmu disk forensik antara
lain mengembalikan file yang terhapus, mendapatkan password, menganalisis file
akses dan system atau aplikasi logs [2].
Komputer forensik merupakan praktek mengumpulkan, menganalisis dan
melaporkan data digital dengan cara yang secara hukum diterima. Hal ini dapat
digunakan dalam deteksi dan pencegahan kejahatan dan dalam setiap sengketa di
mana bukti disimpan secara digital. Komputer forensik mengikuti proses yang
sama dengan disiplin ilmu forensik lainnya, dan menghadapi masalah yang sama
[3].
Data recovery merupakan proses mengembalikan data dari kondisi yang
rusak, gagal, korup, atau tidak dapat diakses ke kondisi awal yang normal. Data
yang dikembalikan dapat dari harddisk, flashdisk dan media simpan lainnya
seperti kamera digital dan camera recorder. Kegiatan recovery atau pengembalian
data ini dapat dikarenakan kerusakan fisik dari piranti penyimpanan atau
kerusakan logis atau software yang memungkinkan sistem file tempat
tersimpannya data tersebut tidak dapat dikenal karena tidak terbaca dengan baik
oleh sistem operasi. Kasus kehilangan data yang paling banyak terjadi umumnya
adalah kegagalan logis, yaitu ketika sistem operasi gagal untuk mengenali sistem
file, baik disk, partisi atau karena sistem operasinya yang rusak [4].
Autopsy merupakan tools analisis dan investigasi bukti digital pada memori
penyimpanan dan file system windows [5]. Recuva merupakan sebuah program
yang membantu pengguna untuk mengembalikan semua file yang telah dihapus
atau tidak sengaja terhapus meskipun sudah terhapus juga di Recycle Bin [6].
Recuva juga dapat mengembalikan semua file yang hilang karena terkena virus,
worm, dan sejenisnya. Keunggulan recuva antara lain: (1) Mampu
mengembalikan data-data yang telah hilang atau terhapus. (2) Mendukung
berbagai jenis file seperti foto, dokumen, dan sebagainya. (3) Dapat digunakan
untuk flashdisk, harddisk, atau pun kartu memori. (4) Penggunaan mudah dan
2
simple. (5) Proses recovery data cepat. (6) Ukuran software kecil dan ringan
digunakan [6].
Bukti Digital merupakan informasi yang didapat dalam bentuk atau format
digital (Scientific Working Group on Digital Evidence) [7]. Beberapa contoh
bukti digital antara lain : e-mail address, file word processor dan spreadsheet,
source code perangkat lunak, file berbentuk image yang berekstensi (jpeg, tip,
etc), web browser bookmarks, cookies, kalender, to-do list. Bukti digital tidak
dapat langsung dijadikan barang bukti pada proses peradilan karena menurut sifat
alamiahnya bukti digital sangat tidak konsisten. Untuk menjamin bahwa bukti
digital dapat dijadikan barang bukti dalam proses peradilan maka diperlukan
sebuah standar data digital yang dapat dijadikan barang bukti dan metode standar
dalam pemrosesan barang bukti sehingga bukti digital dapat dijamin keasliannya
dan dapat dipertanggung jawabkan. Berikut adalah aturan standar barang bukti
digital agar dapat diterima dalam proses peradilan: (1) Data harus mampu
diterima dan digunakan demi hukum, mulai dari kepentingan penyelidikan sampai
dengan kepentingan pengadilan. (2) Bukti tersebut harus berhubungan dengan
kejadian atau kasus yang terjadi dan bukan direkayasa. (3) Bukti dapat dikatakan
bagus dan lengkap jika didalamnya banyak terdapat petunjuk yang dapat
membantu investigasi. (4) Bukti dapat mengatakan hal yang terjadi di
belakangnya, bukti tersebut dapat dipercaya dan mengarah, maka proses
investigasi akan lebih mudah. Syarat dapat dipercaya ini merupakan suatu
kewajiban dalam penangan perkara [7]. Untuk menjamin keempat syarat tersebut
terpenuhi, maka perlu adanya metode standar dalam pengambilan data untuk bukti
digital dalam pemrosesan barang bukti data digital. Dengan demikian, data yang
diperoleh dapat dijadikan barang bukti yang legal dipengadilan dan diakui oleh
hukum.
3. Metode Penelitian
Metode yang digunakan dalam penelitian ini adalah metode The Forensics
Lifecycle. Dimulai dari pengumpulan (collection), pengujian (examination),
analisa (analysis), laporan (reporting), seperti yang digambarkan dalam alur
metodologi berikut ini :
Gambar 1 Metode Penelitian The Forensics Lifecycle [8]
Pada tahap pertama yaitu tahap pengumpulan data. Pada tahap ini dilakukan
pengambilan bukti digital pada disk E:\, analisa bukti digital yang didapat pada
proses step 1 pengambilan image file pada disk menggunakan software autopsy
untuk mendapat informasi detail yang ada pada disk E:\ sehingga dapat
melanjutkan tahap analisa bukti digital yang ada pada disk E:\pada Gambar 2.
3
Gambar 2 Select local Disk
Gambar 2 menunjukkan step 1 select local disk dalam melakukan
pengambilan bukti pada local disk. Investigator dapat melakukan analisis dan
identifikasi konten dari bukti digital serta direktori, melakukan recovery, dan
analisis metadata.
Langkah selanjutnya adalah menganalisa bukti digital sesuai data-data yang
didapat oleh autopsy, bukti digital yang terdapat dalam disk E:\ dikelompokan
pada masing-masing extention (file doc, mp3, mp4, exe, dan jpg) pada Gambar 3.
Gambar 3 Hasil Analysis Disk E:\ pada Autopsy
Gamabar 3 menunjukkan pada sisi kiri menu file pada disk E:\ analysis
terdapat sebuah sub-menu, yaitu directory file system, table, file name search dan
all deleted files. Bukti digital yang ada didalam local disk E:\ yaitu berupa file
dokumen, mp3, mp4, exe, dan jpg.
Selanjutnya melakukan recovery bukti digital mengunakan software recuva.
Recovery data yang ada pada local disk E:\. Hasil recovery berupa data docx, mp3,
mp4, exe, dan jpg dapat dilihat pada Gambar 4.
4
Gambar 4 Hasil Recovery dengan Recuva
Pada gambar 4 menunjukkan hasil dari recovery mengunkan recuva, pada
sisi kiri menu filename pada disk E:\ analysis terdapat sebuah sub-menu, yaitu
filrname, path, last modified,size dan state. Bukti digital yang ada didalam local
disk E:\ yaitu berupa file dokumen, mp3, mp4, exe, dan jpg.
Langkah selanjutnya adalah melakukan recovery bukti digital mengunakan
software magic uneraser. Recovery data yang ada pada local disk E:\. Hasil
recovery berupa data doc, zip, mp3, mp4, exe, dan jpg dapat dilihat pada Gambar
5.
Gambar 5 Hasil Recovery dengan Magic Uneraser
Gambar 5 menunjukkan hasil recovery dengan software magic uneraser,
sub-menu yaitu name, type, size, prognesis, modified, created berdasarkan data
file bukti digital berupa file doc, rar, exe, video dan audio.
Selanjutnya menganalisa bukti digital sesuai data-data yang didapat oleh
kedua software, untuk setiap bukti digital yang didapat dari masing-masing
software recuva dan autopsy dikelompokan pada masing-masing extention (file
doc, mp3, mp4, exe, dan jpg) pada Gambar 6 berikut.
5
Gambar 6 Hasil Extract Bukti Output dari Autopsy
Gambar 6 menunjukkan hasil dari penggunaan autopsy untuk recovery data
dengan tipe file berekstensi doc, jpg, png, dan bmp. File yang berhasil extract
secara default oleh autopsy akan disimpan pada sebuah folder.
Selanjutnya analisa data digital dari tools autopsy atau media yang
merupakan barang bukti sangat perlu untuk dilakukan. Output yang dihasilkan
berupa informasi dari informasi yang ada akan menjadi dasar perbandingan untuk
proses investigasi selanjutnya. Dalam kasus ini hasil metadata dari sebuah file
dapat terlihat pada gambar 7.
Gambar 7 Informasi data File UU KK Newsletters.doc pada Autopsy
Gambar 7 merupakan tools data bukti digital yang diambil dari software
autospy pada file UK EE Newsletter.doc. Perbedaan antara bukti dari hasil
autopsy dapat dilihat dari date, name, size, access time, dan modifed time. Info
data filename UK EE Newsletter.docx, size 19046, creation Time 1/1/2016 16:32,
modification time 8/19/2015 23:42, access time 1/1/2016 00:00.
Setelah melakukan analisis terhadap data yang terdapat pada file,
investigator pihak berwajib akan mencoba untuk melakukan recovery terhadap
file-file yang terdapat didalam flashdisk Toshiba. Pada Gambar 8 menunjukkan
sintak hasil recovery file dengan menggunakan recuva.
6
Gambar 8 Informasi data File UU KK Newsletters.doc pada Recuva
Gambar 8 merupakan tools data bukti digital yang diambil dari software
recuva pada file UK EE Newsletter.doc. Perbedaan antara bukti dari hasil autopsy
dapat dilihat dari date, name, size, access time, dan modifed time. Info data
filename UK EE Newsletter.docx, size 18.5KB, creation time 1/1/2016 16:32,
modification time 8/19/2015 23:42, access time 1/1/2016 00:00.
Selanjutnya recovery menggunakan magic uneraser. Pengambilan bukti ini
untuk mendapatkan hasil perbandingan antara tools dari autopsy dan recuva
berdasarkan dari metode the forensics lifecycle. Hasil recovery file UU KK
Newsletters.doc menggunakan magic uneraser seperti pada Gambar 9.
Gambar 9 Informasi data file UU KK Newsletters.doc pada Magic Uneraser
Gambar 9 merupakan tools data digital evidance yang diambil dari software
magic uneraser pada file UK EE Newsletter.doc. Perbedaan antara bukti dari hasil
recuva dan autopsy dapat dilihat dari date, name, size, access time, dan modifed
time. Info data filename UK EE Newsletter.doc, size 18.6KB, creation time
1/1/2016 4:32, modification time 8/19/2015 11:40, access time 1/1/2016 00:00.
Analisa hasil recovery pada disk E:\ dilakukan berdasarkan hasil implementasi
software autopsy, recuva, dan magic uneraser.
7
Selanjutnya tahap reporting dari hasil recovery menggunakan software
autopsy, recuva, dan magic uneraser. Bukti digital berupa sebuah dokumen file
UK EE Newsletter.doc. Hasil yang diperoleh dari software autopsy memperoleh
info data filename UK EE Newsletter.docx, size 19046, creation time 1/1/2016
16:32, modification time 8/19/2015 23:42, access time 1/1/2016 00:00. Hasil yang
diperoleh dari software recuva memperoleh info data filename UK EE
Newsletter.docx, size 18.5KB, creation time 1/1/2016 16:32, modification time
8/19/2015 23:42, access time 1/1/2016 00:00. Sedangkan hasil yang diperoleh dari
software magic uneraser memperoleh info data filename UK EE Newsletter.doc,
size 18.6KB, creation time 1/1/2016 4:32, modification time 8/19/2015 11:40,
access time 1/1/2016 00:00.
4. Hasil dan Pembahasan
Bukti digital original dan bukti hasil recovery dari software autopsy, recuva,
dan magic uneraser dikelompokan pada tabel berikut:
Tabel 1 Bukti Digital Original
Name File
Size
Access Time
Creation Time
Modifed Time
UK EE Newsletter.Doc
18.5KB
12/25/2015
11:37
Bon Jovi.Mp3
5.44MB
-
Coldplay-Fix You .Mp4
69.6MB
-
Kurt Cobain.JPG
5.22MB
-
12/25/2015
11:37
12/25/2015
11:34
12/25/2015
11:35
12/25/2015
11:38
ALPlayer20.EXE
12.4MB
-
-
Activator windows 7.RAR
1.34MB
-
12/25/2015
11:35
8/19/2015
11:42
10/29/2010
9:26
8/25/2015
12:04
5/30/2015
12:26
10/18/2013
10:13
5/28/2015
09:08
Data bukti digital original di mana bukti tersebut belum dimanipulasi. File
UKK EE Newsletter.doc dengan size asli 18.5KB pernah diakses pada tanggal
12/25/2015 11:37, dibuat pada tanggal 12/25/2015 11:37, dan terakhir editing
8/19/2015 11:42. Hasil analisa bukti digital original dibandingkan berdasarkan
tabel hasil bukti dari recovery autopsy, recuva, dan magic uneraser.
8
Tabel 2 Hasil Recovery Menggunakan Autopsy
Name File
Size
f0000000.docx
18.4KB
f0000048.mp3
5.46MB
f0039408.mp4
69.6MB
f0182080.jpg
5.23MB
f0013968.exe
12.4MB
f0011200.rar
1.34MB
Access Time
Creation Time
Modifed Time
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 2 merupakan hasil recovery menggunakan autopsy pada file UK EE
Newsletter.doc. File name dokumen berubah menjadi f0000000.docx, file
terkontaminasi oleh sofware autopsy, size 18.5KB, access time berubah 1/1/2016
00:00, modified time 8/19/2015 23:42 direkam berdasarkan tahap-tahap metode
the forensics lifecycle.
Tabel 3 Hasil Recovery Menggunakan Recuva
Name File
Size
UK EE Newsletter.Doc
18.5KB
Bon Jovi.Mp3
5.44MB
Coldplay-Fix You .Mp4
69.6MB
Kurt Cobain.JPG
5.22MB
ALPlayer20.EXE
12.4MB
Activator windows 7.RAR
1.34MB
Access Time
Creation Time
Modifed Time
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 3 merupakan hasil recovery menggunakan recuva pada file UK EE
Newsletter.doc. Perubahan data dapat dilihat dari size, access time, dan modified
time 1/1/2016 00:00, 8/19/2015 23:42. Berdasakan investivigasi komputer
forensik menggunakan metode the forensics lifecycle, digital evidance yang ada
pada disk E:\ terdapat bukti digital pada disk, disk yang dinyatakan kosong
tersebut berhasil diinvestivigasi.
9
Tabel 4 Hasil Recovery Menggunakan Magic Uneraser
Name File
UK EE Newsletter.Doc
Size
18.6KB
Bon Jovi.Mp3
5.574MB
Coldplay-Fix You .Mp4
71.33MB
Kurt Cobain.JPG
5.35MB
ALPlayer20.EXE
12.71MB
Activator windows 7.RAR
1.38MB
Access Time
Creation Time
Modifed Time
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
00:00
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
1/1/2016
16:32
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 4 merupakan hasil recovery menggunakan magic uneraser pada file
UK EE Newsletter.doc. Data berubah meliputi size, access time dan modified time
1/1/2016 00:00, 8/19/2015 23:42. Hal tersebut menandakan bahwa bukti sudah
dimanipulasi. Berdasakan investigasi komputer forensik menggunakan metode the
forensics lifecycle, digital evidance yang ada pada disk E:\ berhasil diinvestigasi.
Perbandingan dari hasil recovery menggunakan software autopsy, recuva,
dan magic uneraser sebagai berikut: (1) Bukti digital hasil dari recovery
menggunakan autopsy diteliti berdasarkan tools software yang digunakan, file
dokumen yang diteliti dengan tools autopsy dapat memberikan keterangan pada
toolsnya seperti, name, location, modifed time, change time, access time, create
time, size, flags (dir), flag (meta), mode, user ID, grup Id, meta adress, attr
adress, type (dir), tipe (meta), known, in hastsets, md5 hast, dan object Id. (2)
Bukti digital hasil dari recovery menggunakan recuva diteliti berdasarkan tools
software yang digunakan, file dokumen yang diteliti dengan tools recuva dapat
memberikan keterangan pada toolsnya seperti, filename, path, last modified, size,
state, dan comment. (3) Bukti digital hasil dari recovery menggunakan magic
uneraser diteliti berdasarkan tools software yang digunakan, file dokumen yang
diteliti dengan tools magic uneraser dapat memberikan keterangan pada toolsnya
seperti, name, type, size, status, modified, dan created. Berdasarkan perbandingan
tools yang ada pada sofware autopsy, recuva, dan magic uneraser dapat
disimpulkan bahwa menggunakan software autopsy lebih unggul daripada
menggunakan software recuva dan magic uneraser. Hal ini dikarenakan sofware
autopsy memiliki tools yang lebih lengkap dibandingkan dengan tools yang ada
pada software recuva dan magic uneraser.
Setelah melakukan hasil recovery menggunakan software autopsy, recuva,
dan magic uneraser, langkah selanjutnya adalah melakukan format pada disk E:\.
Berikut ini merupakan hasil dari tiga kali format pada disk E:\ dapat dilihat pada
Tabel 5.
10
Tabel 5 Hasil dari Tiga Kali Format pada Disk E:\
Name File
UK EE Newsletter.Doc
Size
18.9KB
Bon Jovi.Mp3
5.576MB
Coldplay-Fix You .Mp4
71.31MB
Kurt Cobain.JPG
5.39MB
ALPlayer20.EXE
12.71MB
Activator windows 7.RAR
1.33MB
Access Time
Creation Time
Modifed Time
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
00:00
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
3/2/2016
21:16
8/19/2015
23:42
10/29/2010
09:26
8/13/2015
00:05
5/30/2015
00:26
10/18/2013
10:13
5/28/2015
21:08
Tabel 5 merupakan data bukti digital hasil dari recovery dari disk E:\. Pada
disk E:\ dilakukan tiga kali proses format di mana cara format disk secara quick
format sehingga dapat diketahui perbedaan antara hasil satu kali format dengan
quick format antara empat kali format dengan quick format pada disk E:\. Hasil
perbedaan dapat dilihat dari size, access time, creation time, dan modified time.
5. Simpulan
Berdasarkan hasil analisa dan perbandingan bukti digital, maka dapat
disimpulkan sebagai berikut: (1) Analisa yang dilakukan dengan software autopsy
bukti digital yang terdapat pada disk E:\, bukti digital disimpulkan bahwa bukti
tersebut berubah. Hal ini dapat dilihar dari perubahan pada status name file dan
size. (2) Hasil analisa yang dilakukan dengan software recuva, bukti digital yang
terdapat pada disk E:\ bukti file disimpulkan bahwa file dokumen masih utuh,
namun size dokumen bertambah. (3) Hasil analisa yang dilakukan dengan
software magic uneraser menggunakan metode the forensics lifecycle pada
penelitian ini, berdasarkan tools dapat disimpulkan bahwa bukti digital tidak
sesuai dengan bukti original. Hal ini dapat dilihat dari adanya perubahan pada
acces time, modified time, dan size file. (4) Perbandingan antara bukti digital hasil
satu kali format secara quick format dan tiga kali format secara quick format
berbeda. Hal ini dapat dilihat dari size dokumen pada hasil satu kali format secara
quick format adalah 18.6KB, sedangkan size dokumen pada hasil tiga kali format
secara quick format adalah 18,9KB. (5) Terdapat perbedaan antara format secara
quick format dengan format secara default. Perbedaannya adalah pada quick
format proses format cepat dan masih menyimpan file hasil dari penghapusan
sedangkkan format secara default proses finish format lama dan data file dari
penghapusan bersih dari memori.
6. Saran
Saran yang diusulkan sebagai upaya pertimbangan dan pemikiran antara
lain: Untuk mempermudah dalam penacarian bukti digital mengunakan metode
the forensics lifecycle berdasarkan analisa yang dilakukan sebaiknya
11
menggunakan skenario yang lebih, serta analisa yang lebih detail dengan metodemetode lebih dalam.
7. Daftar Pustaka
[1] Dicky, Chandara Irvan, 2011, Analisis Forensik Teknologi Informasi dengan
Barang Bukti Harddisk.
[2] Sinambela, Joshua M., 2012. Analisa Digital Forensik pada Kasus Kejahatan.
[3] Carrigan,Bob,2015,
Komputer
Forensik
[Online],
https://forensiccontrol.com/resources/beginners-guide-computerforensics/.com.Diakses pada tanggal 12 Desember 2015.
[4] Susanto, P, 2006, Analisis Data Recovery.
[5] Kunang, Yesi Novaria, 2013, Membuka Case Baru dengan Autopsy.
[6] Securityin-a-box, 2015, Mendapatkan File Kembali dengan Recuva [Online].
https://info.securityinabox.org/id/recuva.com. Diakses pada tanggal 15
Desember 2015.
[7] Darmawan,
Dian,
2012,
Barang
Bukti
Digital
[Online].
https://diandermawan.wordpress.com/2012/02/12/barang-bukti-digital.com.
Diakses pada tanggal 15 Desember 2015.
[8] Ramadhan, Zuhri, 2011, Digital Forensik dan Pasca Penangan Insiden
Menggunakan Metode The Forensics Lifecycle, Jurnal Fakultas Teknik
UNPAB Medan, Vol. 4 No. 1 Juni 2011.
12