Artikel ini membahas alat dan teknik imaging forensik untuk pemeriksaan media penyimpanan. Terdiri dari 5 tahapan yaitu pelestarian, duplikasi, ekstraksi data, analisis, dan kesimpulan. Fokus pada pentingnya melestarikan bukti asli, mengekstrak file relevan, serta melakukan berbagai analisis seperti pencarian kata kunci dan linimasa untuk menemukan informasi penting.

1. Forensics Imaging Tools
for Storage Media
Examinations
eForensic Magazine 2019 Forensics Imaging
By Deivison Franco, Leandro Trindade, and Daniel
Muller

2. Kelompok 4
Arya Gemilang Deva Purwanto
19523008
Farhan Andrianca Sany
19523051
Guntur Darmawan
19523166
Viki Tegar Aditya
19523177

3. 1.Pengantar
Di mana-mana teknologi telah mempopulerkan jenis jejak yang berbeda, di mana jenis
yang paling beragam informasi pribadi dan profesional dapat ditemukan pada media
penyimpanan. Perangkat ini telah menjadi penting untuk penjelasan berbagai jenis
investigasi Langkah selanjutnya, Ekstraksi Data, bertujuan untuk mengidentifikasi file
atau fragmen file yang ada di media. Pada gilirannya, tujuan dari langkah ketiga,
Analisis, adalah untuk mengidentifikasi informasi yang berguna bagi fakta yang
sedang diselidiki dalam file yang dipulihkan. Dan akhirnya, langkah Presentasi adalah
bagaimana ahlinya secara resmi melaporkan temuannya di akhir ujian.

4. 1.2 Apa itu Forensika Imaging?
Menggandakan isi dari barang bukti media
penyimpanan (storage media) seperti harddisk,
flashdisk dan lain2 secara physical (sektor per sektor,
atau bit-stream copy) sehingga hasil imaging akan
sama persis dengan barang bukti secara physical

5. 2. Preservation atau pengamanan barang bukti
Fase pertama saat melakukan pemeriksaan adalah pengamanan dari
media penyimpanan yang akan dilakukan pemeriksaan. Pada kasus hard
drive akan didokumentasikan nama manufakturer, model, nomer serial,
dan ukuran kapasitas.

6. 2.2 Memindahkan Data
Proses pemindahan data dibagi menjadi dua yaitu:
- media ke media
- media ke file image
Perlu diperhatikan ketika memindahkan data tempat penyimpanan
harus setidaknya sama atau lebih besar ukurannya dari
data yang akan dipindahkan.

7. 2.3 Forensic Imaging Hardwares
Prosedur pencitraan forensik dapat dilakukan dengan menggunakan
peralatan khusus atau melalui prosedur biasa.
komputer yang dibantu oleh program duplikasi. Tidak terlepas dari media
yang dipilih, penting untuk memastikan bahwa media asli tidak diubah
selama prosedur.

8. 2.4 Forensic Imaging Software
Dikembangkan pada tahun 1970-an, awalnya untuk tujuan mengonversi
dan menyalin file, dd adalah yang tertua program duplikat yang masih
digunakan. Ini tetap digunakan secara luas, khususnya untuk akses
mudah, karena dilengkapi dengan instalasi standar dari kebanyakan
sistem tipe Unix.

9. 3. Ekstraksi Data
Fase ini bertujuan untuk mengidentifikasikan file yang aktif, file yang
sudah terhapus, dan bahkan file yang hanya tersisa bagian-bagiannya
(fragment) dari konten keseluruhan.
File yang telah diidentifikasikan selanjutnya di-copy untuk
Disimpan menjadi barang bukti untuk dianalisa.

10. 3.2 Penandaan Data atau File Signing
File-file yang sudah diekstrak tadi kemudian dicek urutan byte pada header
dan footer. Dengan demikian file dapat diidentifikasikan format dari file
tersebut.
Cara melihat hex bytes terakhir dapat menggunakan hex viewer.
Pengidentifikasian hex juga dapat melihat file yang formatnya tidak
konsisten dengan bytesnya karena sudah diubah/dimanipulasi.

11. 4. Analisis
Setelah pelestarian dan ekstraksi data lalu intuisi, pengalaman, dan keterampilan
teknis ahli memperoleh relevansi yang lebih besar. Langkah ini telah dijelaskan
sebagai pencarian metodis untuk jejak yang terkait dengan kejahatan yang
dicurigai atau sebagai karya intuitif .Pelaksanaan analisis tergantung pada sifat
kejahatan.Analisis ini penuh dengan prosedur yang dapat dilakukan ahli sesuai
kebutuhan.

12. 4.2 Reduction
Media penyimpanan dapat berisi ribuan file.Pengurangan dilakukan dengan mencocokkan hash
dari setiap file media ke database file yang dikenal.Fungsi hash kriptografi kedua juga dapat
berfungsi untuk mengurangi kemungkinan tabrakan.
Perintah berikut menunjukkan cara membuat database hash yang disebut "ignored_files.txt"
dari direktori "Windows" dan bagaimana membandingkannya dengan file di direktori "yang
dipertanyakan".
hashdeep -r Windows *> legacy.txt files
hashdeep -m -k queried.txt files questioned / *

13. 4.3 Search by Keywords
Pencarian kata kunci adalah proses analisis yang paling intuitif. Ini
melibatkan membandingkan istilah pencarian dengan himpunan data. Ini
sering merupakan salah satu fitur suite aplikasi forensik yang paling
banyak digunakan, sehingga pengembang berusaha untuk menawarkan
fitur sebanyak mungkin, seperti menggunakan ekspresi reguler sebagai
kriteria pencarian.

14. 4.4 Real Time Search
Dalam prakteknya digunakan ketika ukuran media yang dipindai kecil
karena cenderung lambat proses karena mesin pencari perlu memindai
gambar media secara menyeluruh setiap kali pencarian baru dilakukan.

15. 4.5 Indexing
Pengindeksan mengoptimalkan pencarian kata kunci dengan membuat
indeks, mirip dengan indeks yang ada dalam buku. Oleh karena itu,
indeks adalah struktur akses tambahan yang digunakan untuk
mempercepat pencarian dalam kondisi tertentu

16. 4.6 Timeline Analysis
Pertanyaan umum para ahli berupa cerita yang cara penceritaannya
paling jelas dan ringkas adalah secara kronologis. Linimasa analisis
mengatur peristiwa dalam urutan kronologis.Metode ini memperoleh
dari berbagai sumber informasi yang diperlukan untuk menyusun
kembali peristiwa-peristiwa. Untuk contoh, dari metadata diperoleh
tanggal pembuatan dan modifikasi file; Artefak web adalah diambil dari
kunjungan situs bersejarah; Data EXIF ​​diambil ketika foto ditemukan
di media.

17. 5. Kesimpulan
Ilmu komputer ada di mana-mana dalam kehidupan sehari-hari masyarakat. Jadi,
bukti yang memberatkan atau membebaskan terdakwa semakin banyak
ditemukan di komputer pribadi, hard drive, stik USB, CD, dan DVD.
Pada dasarnya duplikasi forensik memiliki prosedur penting untuk melestarikan
bukti material.
Kemudian jalur yang ditempuh oleh ahli pidana untuk mengambil dan mencari
data yang relevan dengan penyidikan atau penuntutan yang ditunjukkan.
Sistem operasi Windows mungkin informasi yang relevan untuk memecahkan
suatu kasus.

18. Sumber Artikel:
eForensics Magazine. 2019. 10 Forensic Imaging.Hal.5 - 28.
Penulis Artikel:
by Deivison Franco, Leandro Trindade and Daniel Müller