Digital Forensik : Recovery dan Analisis Data

Digital Forensik : Recovery dan Analisis Data

Forensik secara umum adalah suatu proses ilmiah untuk mengumpulkan, menganalisis, dan menyajikan bukti pada pengadilan. Pada umumnya, sebuah tahap forensik dilakukan dengan asumsi bahwa data-data yang telah dikumpulkan akan digunakan sebagai bukti di pengadilan.  

Ilmu forensik terbagi ke dalam beberapa cabang ilmu, salah satunya adalah forensik digital yang digunakan untuk penyelidikan dan penemuan konten pada perangkat digital, dan seringkali dikaitkan dengan kejahatan komputer. 

Dalam digital forensik dikenal teknik pengembalian data atau recovery yang sangat berguna bagi para penyidik untuk memperoleh bukti-bukti digital dari suatu device yang dengan sengaja atau tidak sengaja mengalami penghapusan data.

Selain itu, para penyidik juga melakukan analisis pada data digital untuk mendapatkan bukti yang konkret yang bisa dijadikan sebagai bukti. Namun dalam dunia forensik tidak disarankan atau tidak dibenarkan untuk menganalisis data dari device nya secara langsung demi menghindari kerusakan data pada device.

Oleh karena itu para penyidik perlu adanya salinan dari data pada device. Dalam dunia forensik digital ada istilah yang dikenal dengan image file. Image file merupakan file salinan dari data asli yang sama persis, file inilah yang biasa digunakan para penyidik untuk kepentingan analisis tanpa khawatir kerusakan data pada file aslinya.

Tools untuk membuat Image File

            Ada beberapa tools yang bisa digunakan untuk kepentingan analisis, contohnya seperti FTK Imager File dan Autopsy. FTK Imager merupakan salah satu tools yang banyak digunakan untuk keperluan analisis khususnya untuk membuat Image File atau salinan dari data asli, sedangkan Autopsy merupakan tools yang bisa digunakan untuk keperluan analisis datanya. Pada tools Autopsy akan diperlihatkan data secara keseluruhan mulai dari recent file sampai data-data yang sudah terhapus dengan kata lain bisa menampilkan kembali data-data yang secara sengaja atau tidak sengaja terhapus dari perangkat.

Untuk lebih jelasnya berikut langkah-langkah singkat untuk membuat Image File nya.

1.      Buka toolsnya kemudian pilih create disk image

2.      Pilih Source yang akan di copy

3.      Pilih Drive yang akan di salin

4.      Setelah itu, klik add di bagian image destination untuk menentukan hasil dari copy image yang di lakukan

5.      Pilih tipe dari image yang akan kita buat, sebaiknya pilih Raw(dd)

6.      Masukkan detail dari Drive yang akan kita buat imagenya (bisa dikosongkan)

7.      Masukkan nama image dan lokasi image yang akan dibuat

8.      Setelah semua proses selesai klik start untuk memulai proses imaging.

Setelah proses imaging selesai kita bisa menganalisa isi dari data yang telah di salin. Berikut cara membuka image file  tersebut:

1. Klik file > Add Evidence Item

2. Pilih Image File

3. Cari lokasi Image file tersebut

4. Setelah dibuka akan terlihat ada berapa jumlah partisi dimana isi dari image file ini sama persis dengan data aslinya sehingga kita bisa menganalisa data di dalamnya tanpa khawatir data aslinya rusak. Setelah anda membukanya, maka akan tampil keseluruhan data termasuk recent file sampai data yang telah terhapus akan di tampilkan juga.

Jika kita hanya ingin melakukan recovery menggunakan device pribadi kita tanpa ada hubungan dengan analisis forensik, ada beberapa tools yang lebih baik untuk digunakan seperti : TestDisk atau PhotoRec. Namun jika digunakan untuk keperluan analisis data maka kita bisa menggunakan tools di atas.

Sekian sedikit penjelasan mengenai digital forensik khususnya recovery data analisis, semoga bermanfaat bagi para pembaca dan mohon maaf jika ada kesalahan karena penulis juga masih berada pada tingkatan pemula.