Live Forensics untuk Temukan Kembali Bukti Digital

YOGYAKARTA, JOGPAPER.NET — Wisnu Pranoto, Mahasiswa Program Studi Informatika Program Magister Fakultas Teknologi Industri, Universitas Islam Indonesia (FTI UII) Yogyakarta berhasil mengembangkan metode Live Forensics. Metode ini dapat digunakan untuk menemukan kembali barang bukti digital yang sudah dihapus secara permanen.

“Penerapan metode Live Forensics untuk mengakuisisi SSD NVMe secara langsung pada kedua fungsi TRIM disable dan enable. Hasil yang diharapkan berupa tahapan proses analisis untuk mendapatkan barang bukti digital yang telah terhapus permanen,” kata Wisnu Pranoto dalam ujian tesis melalui teleconference dari rumah masing-masing di Yogyakarta, Sabtu (28/3/2020).

Ujian melalui teleconference ini dimaksudkan agar tidak terjadi tatap muka langsung antara Wisnu Pranoto dan Tim Penguji di masa pandemi Coronavirus Disease 2019 (Covid-19). Tim penguji terdiri Dr Imam Riyadi, Ahmad M Raf’ie Pratama, ST, MIT dan Dr Yudi Prayudi, Pakar Forensika Digital FTI UII.

Lebih lanjut Wisnu Pranoto menjelaskan pada dekade terakhir, teknologi komputer dituntut kecepatan akses dalam pengoperasiannya, salah satunya menggunakan media penyimpanan Solid State Drive (SSD). Namun saat ini SSD memiliki teknologi media penyimpanan yang baru yaitu Solid State Drive Non-volatile Memory Express (SSD NVMe).

SSD NVMe, jelas Wisnu, memiliki fitur bernama TRIM yang memungkinkan sistem operasi untuk memberi tahu SSD terkait block mana saja yang sudah tidak digunakan. Sedang TRIM berfungsi menghapus block yang telah ditandai untuk kemudian dihapus oleh sistem operasi.

Ädanya TRIM, kata Wisnu, SSD memiliki dampak negatif bagi bidang forensik digital yang membutuhkan bukti digital sebagai bahan analisis forensik. Sehingga menyulitkan ahli forensik digital untuk menemukan barang bukti yang telah dihapus permanen.

Karena itu, tandas Wisnu, diperlukan teknik untuk mengakuisisi SSD dengan menggunakan metode Live Forensics tanpa mematikan sistem yang sedang berjalan. Penerapan metode Live Forensics untuk mengakuisisi SSD NVMe secara langsung pada kedua fungsi TRIM disable dan enable.

“Metode ini bisa menemukan barang bukti digital yang telah terhapus permanen. Selain itu, juga untuk membandingkan tools yang paling efektif dalam melakukan recovery bukti digital pada SSD NVMe fungsi TRIM,” kata Wisnu yang memiliki sertifikat internasional Certified Ethical Hacker (CEH) dan Computer Hacking Forensik Investigator (CHFI) ini.

Wisnu melakukan uji coba metode yang dikembangkan pada komputer yang menggunakan sistem operasi Windows 10 Profesional dalam keadaan menyala atau sedang hidup. “Untuk melakukan imaging menggunakan live acquisition atau logical acquisition dengan kedua fungsi TRIM disable dan enable yang telah diimplementasikan berhasil melakukan imaging dengan tool FTK Imager Portable dan tool Testdisk dapat melakukan recovery secara langsung terhadap fungsi TRIM disable,” tuturnya

Sedangkan berdasarkan proses pemeriksaan dan analisis pada SSD NVMe fungsi TRIM, tahapan pemeriksaaan sama halnya dengan pemeriksaan forensik digital pada media penyimpanan lainnya, yaitu dengan tahapan imaging, recovery, hashing, dan lain-lainnya.

SSD NVMe memiliki dua fitur yaitu TRIM disable dan enable. Proses pemeriksaan dan analisis pada SSD dengan kedua fungsi TRIM disable dan enable, bahwa proses recovery TRIM disable dapat menjaga integritas barang bukti.

“Hal ini dibuktikan dengan nilai hash MD5 pada file asli dan file hasil recovery memiliki nilai hash yang sama. Sedangkan TRIM enable hasil file recovery tersebut mengalami kerusakan dan tidak identik dengan file aslinya sehingga integritas barang bukti tidak terjamin,” katanya.

About The Author

Reply