USB Forensics - Rekonstruksi Bukti Digital Dari Sebuah USB Drive

Bayu S. Arafah 0


Halo teman-teman dimana kalian berada, semoga tetap semangat menjalani aktivitas sehari-harinya. pada artikel kali ini kita akan belajar bersama mengenai Forensik Digital dan khusus pada seri kali ini kita akan membahas tentang USB Drive.

Baca juga : Pengenalan Forensik Digital dan Istilah Didalamnya

Sekilas mengingat tentang USB, USB (Universal Serial Bus) juga disebut flash drive atau kartu memori, adalah perangkat portabel kecil yang dihubungkan ke port USB pada komputer. Drive USB biasanya digunakan untuk menyimpan, mencadangkan data (backup), dan mentransfer file antar perangkat. Drive USB hadir dengan kapasitas penyimpanan yang berbeda dan jenis port yang berbeda, masing-masing dengan bentuk yang unik. Drive USB yang digunakan dapat bervariasi tergantung pada jenis komputer yang akan dihubungkan dengan drive tersebut.

Baca juga : Pengenalan Alat dan Forensik Digital [Part 1]

Baca juga : Pengenalan Alat dan Forensik Digital [Part 2]


Analisa Komprehensif yang kita perlukan untuk menangani sebuah barang bukti terutama dalam aspek digital memerlukan sebuah metodologi. Berikut metodologi dalam penanganan bukti digital.



Proses Investigasi Forensik Digital

Dalam buku panduan Forensic Examination of Digital Evidence, standarnya terdapat 4 tahap untuk memproses bukti digital, yaitu:
  1. Assessment: pemeriksaan forensik komputer harus menilai bukti digital sepenuhnya dengan mematuhi ruang lingkup dari kasus untuk menentukan tindakan yang harus diambil.
  2. Acquisition: Secara alamiah, bukti digital sangat sekali rentan dan tentu bisa saja dimanipulasi, rusak atau dihancurkan oleh pemeriksaan atau penanganan yang tidak sesuai prosedur. Standarnya sebelum pemeriksaan barang bukti harus di salin (copy) terlebih dahulu dari aslinya sehingga bukti yang asli terlindungi. tahap akusisi adalah tahap untuk melindungi integritas dari bukti tersebut.
  3. Examination: Pada tahap penyelidikan. barang bukti akan diekstrak dan di analisis. Ekstrak disini maksudnya ialah mengacu pada proses pemulihan data (recovery data) dari sebuah media dan analisis sendiri mengacu pada data yang diselidiki dan menempatkannya dalam format yang tepat.
  4. Documenting dan Reporting: Tindakan pada hasil penelusuran forensik harus di dokumentasikan selama proses forensic itu berlangsung. Hal ini termasuk dengan kesiapan pada laporan tertulis dari temuan yang ada.
Tahap-tahap diatas adalah standar dari proses analisa forensik menurut buku panduan yang dijadikan acuan untuk seluruh Investigator diseluruh belahan dunia. Tetapi teori terus berkembang dan menghasilkan beragam tahapan  yang meluas. Sumber lain menyebutkan tahapan tambahan terkait dengan proses digital forensic diantaranya:
  1. Data Collection
  2. Preservation
  3. Examination dan Analysis

Disk Imaging
  • Sebuah Disk Image didefinisikan sebagai  sebuah file komputer yang mengandung dan berstruktur sebagai sebuah penyimpanan data seperti hard drive, CD Drive, handphone, tablet, RAM.
  • Disk Image itu sendiri terdiri dari konten sebenarnya dari perangkat penyimpanan data perlu di buat salinannya dari isi yang asli itu sendiri prinsip ini mengacu pada tahap akuisisi.
  • Pada tahap selanjutnya yakni pemeriksaan dan penyelidikan, dalam proses lidik dan sidik harus dilakukan oleh professional untuk meminimalisir kesalahan pada tahap tersebut.
  • Standard tools yang digunakan harus memenuhi kriteria yang ditetapkan, Investigator dilarang menggunakan tools yang tidak dikenal ataupun baru.
  • Standard tools bisa menggunakan Encase Forensic Imager dan beberapa ekstension didalamnya seperti Forensic Toolkit imaging dan analysis.
  • Tools forensik standarnya sangatlah mahal, seperti software Encase yang dijelaskan diatas mengeluarkan biaya sekitar $2,995 - $3,564 jika dirupiahkan sekitar Rp 38JT - 50JT, untuk tools yang gratis disarankan memakai tools seperti Sleuth Kit dan AccesData FTK Imager.

FTK Imager:
  • Diatas adalah sebuah tampilan panel dari  Acces data FTK Imager,
  • Selain itu terdapat pohon evidence pada layar sebelah kiri.. untuk menambahkan  evidence bisa click tombol yang berwarna hijau pada panel diatas dan pilih source evidence type.
  • pilih source evidence (logical drive) untuk USB.
  • Periksa pada menu drop-down. diatas sini pilih HP USB for analysis.


  • Perluas Evidence Tree pada Perangkat USB akan mewakili keseluruhan tampilan data yang dihapus.
  • Telusuri lebih lanjut untuk memeriksa dan menyelidiki jenis bukti yang dihapus.

Peringatan: Direkomendasikan untuk tidak memakai bukti asli pada saat investigasi, karena secara tidak sengaja menyalin data baru ke USB akan menimpa file yang dihapus sebelumnya di USB. Aspek Integritas pada bukti akan gagal, jadi selalu pakai file salinan image selama proses investigasi.


Membuat  USB Image:
  •  Pilih dan buat Disk Image dari Menu File.

  • Kemudian pilih Gambar Tipe E01
  • Tahap selanjutnya yakni Wajib menambahkan informasi tentang jenis USB, Ukuran, warna & identitas bukti lainnya.

  • Pilih dan tentukan path destinasi dari nama file USB, contoh C:\Users\...\Desktop\New Folder dan nama file gambar.

Forensic Imaging - USB
Tahap selanjutnya yakni membuat ekstensi image dari USB yang akan di examination
  • Proses akan memakan waktu beberapa menit atau bahkan beberapa jam untuk membuat  file gambar.
  • Cabut USB drive dan tempatkan original files yang ada pada USB ditempat yang aman dan selanjutnya untuk proses analysis dan examination akan memakai file salinan.

Digital Evidence Analysis:
Selanjutnya pada tahap analisa barang bukti, teman-teman bisa melihat dan mencari beberapa aktivitas yang mencurigakan  pada USB drive ditemukan. dan juga beberapa files yang hilang atau bahkan yang di hapus akan ter-recovery disini.


  • Setelah menemukan barang bukti yang hilang ataupun dihapus bisa langsung di ekstrak atau di export.
  • Untuk selanjutnya dan untuk penyelidikan yang menyeluruh teman-teman bisa eksplorasi lebih dalam lagi. Selamat Bereksplorasi!!!
Tambahan pada akhir kata, pada konteks  Model Proses Forensik meliputi:
  1. Physical Context: Kelola prosedur untuk mengidentifikasi dan mengumpulkan media fisik, seperti mendokumentasikan semua bukti yang ditemukan, menggandakannya, dan menyimpannya dengan aman.
  2. Logical Context: Regulasikan prosedur investigasi dan analisis data di media, termasuk pencarian file tersembunyi, pemulihan file yang dihapus, implementasi rekonstruksi dan kronologis, serta analisis tautan ke kasus yang diberikan.
  3. Legal Context: Mengatur tata cara pengelolaan fisik dan informasi sesuai dengan peraturan perundang-undangan, seperti penunjukan pihak yang memiliki yurisdiksi dan kewenangan, surat perintah penggeledahan, penyitaan, pengarsipan dan pelaporan, serta penyajiannya di pengadilan.
Dan tidak sampai disitu, berikut beberapa hal yang perlu diperhatikan ketika melakukan proses forensik:
  1. Order of Volatility: Fase ini mengacu pada urutan di mana bukti harus dikumpulkan. Secara umum, pengumpulan bukti harus dimulai dengan apa yang paling tidak stabil atau mudah diubah. Contohnya adalah RAM (Random Access Memory), yang datanya akan hilang saat komputer dimatikan. Oleh karena itu, penting untuk berhati-hati agar tidak mematikan komputer jika diduga terlibat dalam insiden keamanan, dan menyimpan bukti berharga jika perlu. Berikut adalah urutan volatilitas, dimulai dengan data yang paling rentan terhadap perubahan atau kehilangan: Data di cache, termasuk cache CPU dan cache hard disk Data di RAM, termasuk proses sistem dan transfer jaringan file/file halaman di sistem disk drive Data disimpan di drive disk lokal, Log disimpan di sistem jarak jauh, Media arsip.
  2. Data Acquisition & Preservation of Evidence: Saat melakukan perolehan data untuk bukti, sangat penting untuk mengikuti prosedur khusus untuk memastikan bahwa bukti tidak diubah. Beberapa hal dapat dipertimbangkan dalam prosedur ini, seperti pengambilan citra sistem, hashing, lalu lintas jaringan dan log, pengambilan video, perekaman selang waktu, tangkapan layar, wawancara saksi.
  3. Chain of Custody (CoC): adalah proses pembuktian bahwa semua bukti telah diperiksa dan diproses dengan baik setelah proses pengumpulan dijamin. Misalnya, forensik komputer biasanya berkaitan dengan menemukan file yang masih ada atau telah dihapus sebagai bukti digital. CoC forensik komputer membutuhkan kehati-hatian karena sifat data digital adalah volatile dan mudah berubah. Perbedaan stempel waktu (akses yang dibuat-dimodifikasi) dalam file log misalnya, itu dapat merusak bukti digital dan tidak dapat diterima oleh pengadilan. Penanganan awal barang bukti elektronik berupa komputer yang diperoleh saat dimatikan atau dihidupkan juga berbeda.
  4. Legal Hold: Legal hold mengacu pada perintah pengadilan untuk mempertahankan berbagai  jenis data sebagai bukti.
  5. Recovery of Data: Secara umum, pemulihan data mengacu pada pemulihan data yang hilang seperti pemulihan file yang rusak/korup dari sebuah file cadangan. Namun, dalam konteks forensik, dimungkinkan untuk memulihkan data yang sengaja dan tidak sengaja terhapus.
  6. Active Logging for Intelligence Gathering: Bagi organisasi untuk terlibat dalam intelijen strategis atau pengumpulan kontra intelijen dengan meningkatkan jumlah data yang dikumpulkannya. Misalnya, strategi logging aktif dapat membantu organisasi menangkap sejumlah besar data tentang penyerang.
  7. Track Man-Hours and Expense: Investigasi bisa memakan waktu yang lama, dan dalam bisnis, waktu sama dengan uang. Seiring berjalannya waktu, departemen/divisi yang dapat menentukan berapa banyak waktu dan uang yang dihabiskan harus mendapatkan persetujuan untuk anggaran yang diminta. Selain itu, penilaian risiko kuantitatif didasarkan pada keputusan untuk menggunakan sejumlah uang tertentu, seperti biaya dan nilai aset. Jika insiden memerlukan keterlibatan seorang profesional keamanan dalam tim, evaluasi harus mencakup jam kerja dan biaya yang dikeluarkan oleh tim tanggap insiden.
Demikian artikel kali ini, pada cakupannya jelas investigasi ini mencakup Media Penyimpanan, Applications, hardware dan Operating System, dan tools yang digunakan juga sangat banyak dan beragam sesuai dengan fungsi. Proses diatas merupakan demonstrasi dari salah satu tools forensik Acces data FTK Imager, untuk kekurangannya kami mohon maaf, semoga dapat menambah wawasan teman-teman semua, terimakasih.

Bala Ganesh. https://gbhackers.com/usb-forensics/amp/. Diakses pada 02 Maret 2023.
M. Iqbal. https://miqbal.staff.telkomuniversity.ac.id/digital-forensic/. Diakses pada 03 Maret 2023.
Tags:

Bayu S. Arafah

Seorang mahasiswa Sarjana Informatika yang kebetulan suka menulis, dan cukup aktif dalam dunia Keamanan Siber


Postingan Komentar

Posting Komentar

Lebih baru Lebih lama