Android forensik

885
-1

Published on

Recovery Data pada Android

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
885
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
68
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Android forensik

  1. 1. Forensik Gambar Digital pada Perangkat Android Muhammad Abdul Jafar Sidiq(113091011), Caisar Oentoro(113090064), Dafiz Adi Nugroho(113090005) Fakultas Informatika Institut Teknologi Telkom Bandung, Indonesia jafarsidiq52@gmail.com,czaroentoro@gmail.com,davisadn@gmail.comAbstraksi Setiap perangkat mungkin memiliki kebutuhan yang Seiring perkembangan teknologi telekomunikasi berbeda untuk mengakses, ekstrak, recovery, dandan seluler, perangkat mobile seperti smartphone dengan menganalisis data. Penelitian dilakukan menggunakansistem operasi Android sekarang sudah menjadi tren Nexian NX-A891 Sistem Operasi Android Froyo 2.2.2,perangkat mobile dikalangan masyarakat di dunia. Tidak untuk menentukan suatu proses untuk melakukanhanya dari segi fitur dan kecanggihan yang ditawarkan, recovery data internal dan eksternal untuk perangkat ini,tetapi dari segi kenyamanan dan harga yang ditawarkan. dilakukan penelitian untuk melakukan recovery diBanyak perangkat mobile yang berbeda-beda yang perangkat ini.menggunakan sistem operasi Android dengan bermacam- Penelitian yang dilakukan untuk merecovery datamacam teknologi yang ada didalamnya. Oleh karena itu image yang terdapat di dalam memory internal dandalam proses recovery data yang ada di dalam memori eksternal yang ada di dalam smartphone Android Nexianinternal atau eksternal perangkat tersebut berbeda-beda NX-A891 Froyo 2.2.2 yaitu pertama kali yang dilakukandalam segi penyelesaiannya. Dan dalam hal ini focus adalah menformat data yang ada di perangkat tersebut,yang ditujukan memori internal dan eksternal pada kemudian dengan USB image tools dan dd commandperangkat smartphone Nexian NX-A891 dengan sistem untuk mendapatkan file tersebut, lalu diekstrak keduanyaoperasi Android Froyo 2.2.2 yang sudah di root. Data file dengan files scavenger dan bandingkan denganimage yang ada didalam memori internal atau eksternal JPEGNoob. Hasil recovery dari kedua cara tersebut akanyang ada di dalam perangkat tersebut di ekstrak ke dalam dibandingkan satu sama lain, jika hasilnya sama berartiimage dengan menggunakan USB image tools dan dd penelitian sukses dilakukan.command. Setelah itu ekstrak file tersebut dengan FilesScavenger dan kemudian bandingkan dengan 2 Teori dasarmenggunakan JPEGNoob apakah file tersebut sama 2.1 Androiddengan file sebelum dihapus. Sejak adanya perangkat mobile, dan SmartphoneKeywords: android, forensik,memori,recovery khususnya, teknologi perangkat mobile telah berkembang1 Pendahuluan pesat yaitu tidak hanya sebagai alat komunikasi seluler tetapi juga digunakan sebagai alat komputasi seperti Smartphone dalam perkembangannya menjadi suatu Laptop dan Notebook. Platform Google Androidperangkat yang banyak digunakan oleh orang, banyak merupakan platform open source yang dirancang untukorang menggunakannya untuk kebutuhan komunikasi perangkat mobile seperti Smartphone dan Tablet. Androidataupun sebagai perangkat pengganti komputer dalam juga mencakup sistem operasi yang berbasis Linux,pekerjaan sehari-hari, popularitas smartphone juga kernel 2.6 middleware untuk memfasilitasi fitur sepertimeningkat seiring pesatnya perkembangan smartphone pemrograman dan aplikasi kunci. Dalam hal penjualanitu sendiri. Tak terkecuali sistem operasi Android yang smartphone di pasar dunia, smartphone Android menjadicepat memperoleh pangsa pasar yang besar dan sedang smartphone favorit yang dibeli oleh orang di pangsadigunakan pada berbagai macam perangkat, termasuk pasar, dengan 50% dari penjualan smartphone secarasmartphone dan tablet. Ada kebutuhan besar untuk dapat keseluruhan mengalahkan Apple dengan 25%.mengekstrak dan menganalisis recovery data dariperangkat android, misalnya pada file gambar. Tetapi, Dengan perangkat Android, terdapat empatkarena perangkat ini merupakan teknologi yang baru, ada sumber didalamnya: penyimpanan internal, SD card,kekurangan informasi tentang bagaimana untuk RAM, dan kartu SIM. Dalam penelitian ini, fokus kamimelakukan recovery data tersebut. adalah recovery data pada penyimpanan internal eksternal khusunya SD card. Dan perangkat Android yang kita
  2. 2. gunakan adalah Nexian NX-A891 dengan sistem operasiFroyo 2.2.2.2.2 Memori Eksternal Memory Eksternal adalah memori tambahan yangberfungsi untuk menyimpan data atau program. Dengankata lain memory ini termasuk perangkat keras untukmelakukan operasi penulisan, pembacaan dan Gambar 3.1 perangkat android yang terdeteksipenyimpanan data, di luar memori utama. Misal di dalam Jika perangkat sudah dapat dideteksi pada output,smartphone Android adalah SD card. Pada dasarnya maka tahapan selanjutnya adalah menggunakankonsep dasar memori eksternal adalah Menyimpan data SuperOneClick. Menggunakan SuperOneClick relatifbersifat tetap (non volatile), baik pada saat komputer aktif mudah, untuk melakukan rooting yang perlu dilakukanatau tidak. adalah klik tombol ‘Root’ seperti gambar di bawah ini: Memori eksternal mempunyai dua fungsi utamayaitu sebagai penyimpan permanen untuk membantufungsi RAM dan yang untuk mendapatkan memori murahyang berkapasitas tinggi bagi penggunaan jangkapanjang.2.3 Memori Internal Memory Internal adalah Memori yang dapat diaksessecara langsung oleh prosesor. Memori internal memilikifungsi sebagai pengingat. Dalam hal ini yang disimpan didalam memori utama dapat berupa data atau program.Secara lebih rinci, fungsi dari memori utama adalah :Menyimpan data yang berasal dari peranti masukansampai data dikirim ke ALU (Arithmetic and Logic Unit) Gambar 3.2 penggunaan SuperOneClickuntuk diproses Menyimpan daya hasil pemrosesan ALUsebelum dikirimkan ke peranti keluaran Menampung Jika proses root telah selesai, untuk mengetahuiprogram/instruksi yang berasal dari peranti masukan atau apakah perangkat berhasil dirooting atau tidak adalahdari peranti pengingat sekunder. Ada dua jenis memory dengan mengetikkan pada command-line perintahROM dan RAM. berikut: adb shell su. Keluaran yang dihasilkan jika proses rooting berhasil adalah sebagai berikut:3 Implementasi dari forensik perangkat android3.1 Menyiapkan Android untuk rooting. Untuk melakukan rooting pada Android (khususnyaAndroid 2.2), dapat menggunakan aplikasiSuperOneClick[shotfuse.org]. Sebelum menggunakanSuperOneClick, tools lain yang wajib dimiliki adalah Gambar 3.3 melihat Android yang telah di rootAndroid Development Tools (ADB) dan driver darimasing-masing ponsel. Driver dibutuhkan agar ADB 3.2 Membuat image dari memori internaldapat digunakan pada komputer, karena setiap ponsel menggunakan perintah ddmungkin berbeda – beda, ada yang memerlukan driver File sistem utama Android disimpan di beberapaagar ADB bisa digunakan, ada juga yang bisa langsung tempat berbeda di direktori /dev. Kernel Linuxmenggunakan ADB tanpa harus menginstall driver pada menggunakan MTD agar bisa berjalan langsung padakomputer terlebih dahulu. Untuk memastikan embedded system (memori flash). Biasanya terdapat 6 fileketersediaan ponsel (apakah ADB dapat dijalankan), utama yang terdapat pada /dev/mtd, yaitu:dapat dilakukan pengujian dengan mengetikkan pada  Mtd0 biasanya digunakan Android untukcommand line: adb devices. menangani beranekaragam tugas.  Mtd1 digunakan sebagai image recovery
  3. 3.  Mtd2 mengandung partisi untuk boot. 2. Mengopi file yang akan dilakukan forensik ke sd  Mtd3 mengandung file sistem card. Dalam hal ini adalah file jpeg.  Mtd4 menampung cache 3. Membuat file image dari sd card dengan  Mtd5 menampung data pengguna. menggunakan usb image tool. 4. Menghapus file dengan aplikasi local pada Meskipun setiap file penting untuk dibuat berkas android. Yaitu ES file explorer.image – nya, sebagian besar penelitian yang dilakukan 5. Mengekstrak semua file dari image denganberfokus pada block mtd3 dan mtd5 (untuk menggunakan tool Files Scavenger.mempermudah percobaan serta data-data penting 6. Membandingkan hasil dari file asli dan filebiasanya terdapat dalam blok memori ini). dd command ekstraksi hasil forensik dengan Jpegnoob.memerlukan lingkungan shell serta privilege root untuk 7. Jika hasilnya sama, proses recovery telahbisa dijalankan pada terminal. berhasil Dd command mempunyai 3 parameter utama,yaitu input file(if), output file(of), dan byte size(bs). Input 4 Hasil eksperimenfile menspesifikasikan di mana path yang akan dibuat Hasil percobaan dengan menggunakan android 2.2(froyo)image file-nya. Output file menspesifikasikan nama file dengan identifikasi device sebagai berikutatau path yang akan menjadi nama file image nya.Sedangkan byte size adalah berapa banyak atau jumlahbyte yang dibaca, ditulis atau dikonversi dalam satuwaktu. Berikut ini cara menggunakan perintah dd: Gambar 3.4 Menjalankan perintah dd Yang perlu diperhatikan adalah perintah tersebutlangsung mengarahkan keluarannya ke memori eksternal(kartu memori). Untuk alasan tersebut, alangkah lebihbaik jika kartu memori yang digunakan harus benar-benarkosong atau bila masih berisi, isi dari kartu memoritersebut di pindahkan terseblih dahulu ke harddisk ataumedia penyimpanan lainnya, lalu memori eksternal Gambar 4.1 identifikasi perangkattersebut di sapu bersih (wipe). Sebagai tambahan,diperlukan kehati-hatian dalam menulis path input danoutput (if dan of), karena jika tidak atau salah tulis bisamenulis ulang (overwrite) path file system.3.3 Membuat image dari eksternal memori dengan USB image tool Banyak tool untuk membuat file image darieksternal memory. Eksternal memory pada deviceandroid seperti halnya flashdisk dan ssd. Dari sekianbanyak tool tersebut, USB Image tools merupakan salahsatu tool yang bagus untuk digunakan karena ringan,mudah digunakan dan dapat melakukan hashing denganmd5. Sehingga hasil file image dapat dicek keasliannya Gambar 4.2 spesifikasi perangkatdengan memory dengan mengecek nilai hashnya. Riset Dari eksternal memory, dibuat file image yangini bertujuan untuk membuktikan apakah file bisa merupakan bit by bit copy dari eksternal momory dengandirecover dengan baik tanpa menghilangkan informasi usb image tool.yang ada. Oleh karena itu, prinsip-prinsip dan prosedur-prsedur dalam forensik juga harus diterapkan dalam risetini. Dan skenario dalam riset ini adalah : 1. Wipe SD card untuk testing
  4. 4. Gambar 4.3 USB image tool Hasil forensik dari eksperimen ini adalah filejpeg yang telah dihapus dengan menggunakan aplikasilocal di android mampu di recovery denganmenggunakan file scavenger. Gambar 4.6 analisa pada file asli Gambar 4.4 file sebelumrecovery Gambar 4.7 analisa pada file hasil forensik Analisa hasil forensik dan file asli dengan menggunakan jpeg noob didapat hasil seperti diatas. Dari hasil tersebut, dapat dianalisa bahwa hasil forensik dan Gambar 4.5 file pada proses recovery file asli memiliki karakteristik yang sama diantaranya nilai offset, identifier, length, endian, dan panjang direktori. Dapat disimpulkan bahwa kedua file adalah sama dan proses forensik tersebut berhasil karena tidak menghilangkan informasi yang ada pada barang bukti 5 Kesimpulan Penghapusan barang bukti pada memori di perangkat android dapat dilakukan recovery karena pada dasarnya menghapus file pada suatu memori, sistem tidak akan menghapus secara fisik dan hanya melabeli bit-bit file dengan label dihapus. Sehingga dengan berbagai metode dan tool, suatu file yang telah dihapus dapat
  5. 5. dikembalikan lagi. Dan pada proses forensik, berbagaiprinsip dan prosedur yang menjadi SOP harusdilaksanakan untuk memberikan validitas pada suatubarang bukti. Beberapa diantaranya adalah pelakuforensik tidak boleh mengubah barang bukti asli sehinggaharus menggunakan file kopi atau image dari barangbukti. Pelaku forensik juga tidak boleh merusak ataumenghancurkan barang bukti. Dan tolak ukur darikeberhasilan proses recovery adalah barang atau file hasilrecovery harus sama dengan barang atau file asli. Padaforensik di perangkat android, recovery file dari eksternalmemori dapat dilakukan dengan mudah, tetapi recoverypada internal memori sangat sulit dilakukan karenasystem operasi android akan menghapus data secarapermanen atau wipe data pada internal memori jika adasuatu file yang dihapus.Referensi [1]Hoog, A. (2011, June). Geeks Guide to Digital Forensics. Retrieved fromhttp://viaforensics.com/computer- forensics/google-tech-talk-geeks-guide-to-digital- forensics-june-2011.html[2]Lessard, J., & Kessler, G. C. (2010). Android Forensics: Simplifying Cell Phone Examinations. Small Scale[3]Digital Device Forensics Journal, 4(1). Manning, C. (2002, September). YAFFS: the NAND-specific flash file system - Introductory Article | YAFFS.[4]Retrieved October 12, 2011, from http://www.yaffs.net/yaffs-nand-specific-flash-file- system-introductory-article[5]Manning, C. (2006, July). YAFFS Direct User Guide | YAFFS. Retrieved October 12, 2011, from http://www.yaffs.net/yaffs-direct-user-guide[6]Mtdutils - Texas Instruments Embedded Processors Wiki. (2009, March). Retrieved October 12, 2011, from http://processors.wiki.ti.com/index.php/Mtdutils[7]Myers, D. (2008, February). On the Use of NAND Flash Memory inHigh-Performance Relational Databases. Retrieved from http://people.csail.mit.edu/dsm/flash-thesis.pdf[8]SuperOneClick. (2010). Retrieved October 12, 2011, from http://forum.xda- developers.com/showthread.php?t=803682 U.S. Smartphone Market: Who’s the Most Wanted? (2011, March). Retrieved October 12, 2011, from http://blog.nielsen.com/nielsenwire/?p=27418

×