UJIAN AKHIR SEMESTER

TAKE HOME

CYBER FORENSIC
MUHAMMAD SALAHUDDIEN MANGGALANY

Diajukan Untuk Memenuhi Salah Satu Syarat Akademik

Program Pasca Sarjana (S-2)

Oleh :
Yaya Suharya
L.25.013.0021

Jurusan Keamanan Komputer

Magister Teknik Informatika

UNIVERSITAS LANGLANGBUANA
BANDUNG
2015
0

SOAL
UNIVERSITAS LANGLANGBUANA
Program Pasca Sarjana
Magister Teknik Informatika
Mata Kuliah Komputer Forensik

Ada dua bagian soal. Untuk setiap bagian, Anda diminta untuk memiilih 3 (tiga) soal yang paling menarik
minat Anda. Waktu pengerjaan adalah 2 (dua) minggu take home exam. Tulis seluruh jawaban dengan
menggunakan komputer dan dilengkapi ilustrasi diagram ataupun contoh tampilan (apabila diperlukan),
dikirim ke alamat email aku@pataka.net diserahkan sebelum tanggal 5 April 2015. Anda diperkenankan
membuka buku, mencari referensi dan mengakses Internet, akan tetapi dilarang bekerjasama dengan
peserta ujian lainnya.
Jangan lupa berdoa. Selamat bekerja, semoga sukses!
BAGIAN I ANALISIS (bobot soal masing-masing 20%)
(pilih hanya tiga soal yang paling menarik minat Anda)
Soal 1

Email resmi Perusahaan XYZ menerima kiriman ancaman pembocoran informasi bisnis rahasia
dan keselamatan Direksi. Hasil analisis header dan penelusuran alamat IP mengindikasikan
keterlibatan orang dalam (insider threat) yang menggunakan fasilitas akses WiFi terbuka
kantor dan perangkat bergerak (mobile) milik sendiri (BYOD).
Alat bukti terkait apa saja yang bisa didapatkan dan disediakan Penyidik serta bagaimana
prosedur Chain of Custody yang tepat?

Soal 2

Dari Soal 1, jelaskan ancaman hukuman bagi pelaku sesuai UU Nomor 11 Tahun 2008 Tentang
Informasi dan Transaksi Elektronik.

Soal 3

Sepasang artis terkenal terlibat dalam skandal The Naked Pre Wedding Photo Session. Seri foto
pribadi tersebar luas setelah smartphone milik artis tersebut hilang sampai seluruh akses cloud
storage dibajak pelaku. Pada saat Penyidik melakukan investigasi justru ditemukan adanya
satu cover up menggunakan penyebaran materi multimedia untuk mengirim kepingan berkas
rahasia. Anda diminta membantu kasus ini.
Teknik apa yang digunakan pelaku? Bagaimana mengungkapkannya?

Soal 4

Anda diminta oleh Penyidik Kepolisian untuk memberikan pendapat dan analisis sebagai Ahli
terkait penemuan sejumlah dokumen dalam media penyimpan USB thumb drive yang
dipulihkan dari proses penghapusan. Informasi properties menunjukkan notasi waktu 01:01:01
dan 12/12/12.
Bagaimana cara Anda mencari referensi waktu yang sesuai?

Soal 5

Anda ditunjuk sebagai Ahli oleh Pengadilan. Tugas Anda menjelaskan alat bukti berupa suatu
file dengan sejumlah informasi metadata EXIF.
Bagaimana Anda membuktikan otentisitas material tersebut?
1

BAGIAN II DEFINISI (bobot soal masing-masing 10%)

(pilih hanya tiga soal yang paling menarik minat Anda)
Soal 1

Jelaskan perbedaan antara unallocated, unused dan slack space

Soal 2

Sebutkan dan jelaskan dengan singkat masing-masing satu jenis tools yang digunakan di dalam
proses evidence gathering dan imaging

Soal 3

Jelaskan, menurut anda apa perbedaan computer crime dan computer related crime menurut
definisi EU Convention on Cyber Crime 2001

Soal 4

Apakah yang dimaksudkan dengan volatile dan non volatile data

Soal 5

Jelaskan istilah berikut: steganography, encryption dan compression

BAGIAN III KESIMPULAN (bobot soal 10%)

Berikan pendapat Anda tentang fungsi dan peranan Komputer Forensik, dalam bentuk kesimpulan poinpoin yang paling utama sebanyak maksimal 100 kata.
BAGIAN IV TUGAS TAMBAHAN
Untuk menambah pengetahuan dan nilai, anda diminta untuk memilih salah satu:
1. Menyusun paper ulasan (paper review) tentang fungsi dan fitur 5 (lima) jenis perangkat keras dan 5
(lima) jenis perangkat lunak computer/digital forensic
2. Menyusun paper ulasan (paper review) satu Jurnal atau Proceedings tentang computer/digital forensic.
Bisa berupa ringkasan (resume) maupun kritik.
Format paper A4 satu spasi (lebih disukai menggunakan format IEEE Journal), minimum 2000 kata,
maksimum 4000 kata dilengkapi dengan diagram/gambar ilustrasi pendukung (bila ada). Sebutkan juga
sumber referensi yang digunakan.

JAWABAN

BAGIAN I ANALISIS (bobot soal masing-masing 20%)

Soal 3

Sepasang artis terkenal terlibat dalam skandal The Naked Pre Wedding Photo Session. Seri
foto pribadi tersebar luas setelah smartphone milik artis tersebut hilang sampai seluruh
akses cloud storage dibajak pelaku. Pada saat Penyidik melakukan investigasi justru
ditemukan adanya satu cover up menggunakan penyebaran materi multimedia untuk
mengirim kepingan berkas rahasia. Anda diminta membantu kasus ini.
Teknik apa yang digunakan pelaku? Bagaimana mengungkapkannya?

Saat ini teknologi komputer dapat digunakan sebagai alat bagi para pelaku kejahatan komputer :
seperti pencurian, penggelapan Uang dan lain sebagainya. Barang bukti yang berasal dari komputer telah
muncul dalam persidangan hampir 30 tahun. Awalnya, Hakim menerima bukti tersebut tanpa
membedakannya dengan bentuk bukti lainnya. Namun seiring dengan kemajuan teknologi Komputer,
perlakuan tersebut menjadi membingungkan. Bukti yang berasal dari komputer sulit dibedakan antara yang
asli ataupun salinannya, karena berdasarkan sifat alaminya, data yang ada dalam komputer sangat mudah
dimodifikasi. Proses pembuktian bukti tindak kejahatan tentunya memiliki kriteria - kriteria, demikian juga
dengan proses pembuktian pada bukti yang didapat dari komputer.
Di awal tahun 1970-an kongres amerika serikat mulai merealisasikan kelemahan hukum yang ada
dan mencari solusi terbaru yang lebih cepat dalam penyelesaian kejahatan komputer. Us federals rules of
evidence 1976 menyatakan permasalahan tersebut. Hukum lainnya yang menyatakan permasalahan
tersebut adalah:
a. Economic espionage act 1996, berhubungan dengan pencurian rahasia dagang
b. The electronic comunications privacy act 1986, berkaitan dengan penyadapan peralatan
elektronik.
c. The computer security act 1987 (public law 100-235), berkaitan dengan keamanan sistem komputer
pemerintah
Berikut ini adalah beberapa buah definisi komputer forensik:
a. Definisi sederhana : penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh
suatu sistem komputer dengan menggunakan software dan tool untuk mengambil dan memelihara
barang bukti tindakan kriminal.
b. Menurut Judd Robin, seorang ahli komputer forensik : "Penerapan secara sederhana dari penyelidikan
komputer dan teknik analisisnya untuk menentukan bukti-bukti hukum yang mungkin".
c. New Technologies memperluas definisi Judd Robin dengan: "Komputer forensik berkaitan dengan
pemeliharaan, identifikasi, ekstraksi dan dokumentasi bukti-bukti komputer yang tersimpan dalam
wujud informasi magnetik".
d. Menurut Dan Farmer & Wietse Venema : "Memperoleh dan menganalisa data dengan cara yang bebas
dari distorsi atau bias sebisa mungkin, untuk merekonstruksi data atau apa yang telah terjadi pada
waktu sebelumnya di suatu sistem"

Barang Bukti Digital

Bukti digital adalah informasi yang didapat dalam bentuk / format digital (scientific Working Group
on Digital Evidence, 1999).
Beberapa contoh bukti digital antara lain:

E-mail, alamat e-mail

Filewordprocessor/spreadsheet
Source code perangkat lunak
File berbentuk image(.jpeg, .tip, dan sebagainya)
Web Browser bookmarks, cookies
Kalender, to-do list

Bukti digital tidak dapat langsung dijadikan barang bukti pada proses peradilan, karena menurut sifat
alamiahnya bukti digital sangat tidak konsisten. Untuk menjamin bahwa bukti digital dapat dijadikan barang
bukti dalam proses peradilan maka diperlukan sebuah standar data digital yang dapat dijadikan barang
bukti dan metode standar dalam pemrosesan barang bukti sehingga bukti digital dapat dijamin keasliannya
dan dapat dipertanggung jawabkan.
Adapun klasifikasi barang bukti digital forensik menurut Ruby Alamsyah terbagi atas :
Barang bukti elektronik. Barang bukti ini bersifat fisik dan dapat dikenali secara visual, oleh karena itu
investigator dan forensic analyst harus sudah memahami untuk kemudian dapat mengenali masing-masing
barang bukti elektronik ini ketika sedang melakukan proses searching (pencarian) barang bukti di TKP.
Jenis-jenis barang bukti elektronik adalah sebagai berikut :
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

Komputer PC, laptop/notebook, netbook, tablet

Handphone, smartphone
Flashdisk/thumb drive
Floppydisk
Harddisk
CD/DVD
Router, switch, hub
Kamera video, cctv
Kamera digital
Digital recorder
Music/video player
Barang bukti digital. Barang bukti digital Barang bukti ini bersifat digital yang diekstrak atau di-recover
dari barang bukti elektronik. Barang bukti ini di dalam Undang-Undang No. 11 tahun 2008 tentang
Informasi dan Transaksi Elektronik dikenal dengan istilah informasi elektronik dan dokumen elektronik.
Jenis barang bukti inilah yang harus dicari oleh forensic analyst untuk kemudian dianalisa secara teliti
keterkaitan masing-masing file dalam rangka mengungkap kasus kejahatan yang berkaitan dengan
barang bukti elektronik. Berikut adalah contoh-contoh barang bukti digital.
13. Logical file, yaitu file yang masih ada dan tercatat di file system yang sedang berjalan (running) di suatu
partisi. File tersebut bisa berupa file aplikasi, library, office, logs, multi media, dan lain-lain.
14. Deleted file, dikenal juga dengan istilah unallocated cluster yang merujuk kepada cluster dan sektor
tempat penyimpanan file yang sudah terhapus dan tidak teralokasikan lagi untuk file tersebut dengan
ditandai di file system sebagai area yang dapat digunakan lagi untuk penyimpanan file yang baru.
Artinya file yang sudah terhapus tersebut masih tetap berada di cluster atau sektor tempat
penyimpanannya sampai tertimpa (overwritten) oleh file yang baru pada cluster atau sektor tersebut.
Pada kondisi di mana deleted file tersebut belum tertimpa, maka proses recovery secara utuh terhadap
file tersebut sangat memungkinkan terjadi.
4

15. Lost file, yaitu file yang sudah tidak tercatat lagi di file system yang sedang berjalan (running) dari suatu
partisi, namun file tersebut masih ada di sektor penyimpanannya. Ini bisa terjadi ketika misalnya suatu
flashdisk atau harddisk maupun partisinya dilakukan proses re-format yang menghasilkan file system
yang baru, sehingga file-file yang sudah ada sebelumnya menjadi tidak tercatat lagi di file system yang
baru. Untuk proses recovery-nya didasarkan pada signature dari header maupun footer yang
tergantung pada jenis format file tersebut.
16. File slack, yaitu sektor penyimpanan yang berada di antara End of File (EoF) dengan End of Cluster
(EoC). Wilayah ini sangat memungkinkan terdapat informasi yang mungkin penting dari file yang
sebelumnya sudah dihapus (deleted).
17. Log file, yaitu file yang merekam aktivitas (logging) dari suatu keadaan tertentu, misalnya log dari
sistem operasi, internet browser, aplikasi, internet traffic, dan lain-lain.
18. Encrypted file, yaitu file yang isinya sudah dilakukan enkripsi dengan menggunakan algoritma
cryptography yang kompleks, sehingga tidak bisa dibaca atau dilihat secara normal. Satu-satunya cara
untuk membaca atau melihatnya kembali adalah dengan melakukan dekripsi terhadap file tersebut
dengan menggunakan algoritma yang sama. Ini biasa digunakan dalam dunia digital information
security untuk mengamankan informasi yang penting. Ini juga merupakan salah satu bentuk dari AntiForensic, yaitu suatu metode untuk mempersulit forensic analyst atau investigator mendapatkan
informasi mengenai jejak-jejak kejahatan.
19. Steganography file, yaitu file yang berisikan informasi rahasia yang disisipkan ke file lain, biasanya
berbentuk file gambar, video atau audio, sehingga file-file yang bersifat carrier (pembawa pesan
rahasia) tersebut terlihat normal dan wajar bagi orang lain, namun bagi orang yang tahu
metodologinya, file-file tersebut memiliki makna yang dalam dari informasi rahasianya tersebut. Ini
juga dianggap sebagai salah satu bentuk dari Anti-Forensic.
20. Office file, yaitu file yang merupakan produk dari aplikasi Office, seperti Microsoft Office, Open Office
dan sebagainya. Ini biasanya berbentuk file dokumen, spreadsheet, database, teks, dan presentasi.
21. Audio file, yaitu file yang berisikan suara, musik dan lain-lain, yang biasanya berformat wav, mp3 dan
lain-lain. File audio yang berisikan rekaman suara percakapan orang ini biasanya menjadi penting dalam
investigasi ketika suara di dalam file audio tersebut perlu diperiksa dan dianalisa secara audio forensik
untuk memastikan suara tersebut apakah sama dengan suara pelaku kejahatan.
22. Video file, yaitu file yang memuat rekaman video, baik dari kamera digital, handphone, handycam
maupun CCTV. File video ini sangat memungkinkan memuat wajah pelaku kejahatan sehingga file ini
perlu dianalisa secara detil untuk memastikan bahwa yang ada di file tersebut adalah pelaku kejahatan.
23. Image file, yaitu file gambar digital yang sangat memungkinkan memuat informasi-informasi penting
yang berkaitan dengan kamera dan waktu pembuatannya (time stamps). Data-data ini dikenal dengan
istilah metadata exif (exchangeable image file). Meskipun begitu metadata exif ini bisa dimanipulasi,
sehingga forensic analyst atau investigator harus hati-hati ketika memeriksa dan menganalisa metadata
dari file tersebut.
24. Email, merupakan singkatan dari electronic mail, yaitu surat berbasis sistem elektronik yang
menggunakan sistem jaringan online untuk mengirimkannya atau menerimanya. Email menjadi penting
di dalam investigasi khususnya phishing (yaitu kejahatan yang menggunakan email palsu dilengkapi
dengan identitas palsu untuk menipu si penerima). Email berisikan header yang memuat informasi
penting jalur distribusi pengiriman email mulai dari sender (pengirim) sampai di recipient (penerima),
oleh karena itu data di header inilah yang sering dianalisa secara teliti untuk memastikan lokasi si
pengirim yang didasarkan pada alamat IP. Meskipun begitu, data-data di header juga sangat
dimungkinkan untuk dimanipulasi. Untuk itu pemeriksaan header dari email harus dilakukan secara
hati-hati dan komprehensif.
25. User ID dan password, merupakan syarat untuk masuk ke suatu account secara online. Jika salah
satunya salah, maka akses untuk masuk ke account tersebut akan ditolak.
26. SMS (Short Message Service), yaitu pelayanan pengiriman dan penerimaan pesan pendek yang
diberikan oleh operator seluler terhadap pelanggannya. SMS-SMS yang bisa berupa SMS inbox (masuk),
sent (keluar), dan draft (rancangan) dapat menjadi petunjuk dalam investigasi untuk mengetahui
keterkaitan antara pelaku yang satu dengan yang lain.
5

27. MMS (Multimedia Message Service), merupakan jasa layanan yang diberikan oleh operator seluler
berupa pengiriman dan penerimaan pesan multimedia yang bisa berbentuk suara, gambar atau video.
Call logs, dan lain-lain, yaitu catatan panggilan yang terekam pada suatu nomor panggilan seluler.
Panggilan ini bisa berupa incoming (panggilan masuk), outgoing (panggilan keluar), dan missed (panggilan
tak terjawab).
Berikut ini adalah aturan standar agar bukti dapat diterima dalam proses peradilan:

Dapat diterima, artinya data harus mampu diterima dan digunakan demi hukum, mulai dari
kepentingan penyelidikan sampai dengan kepentingan pengadilan.
Asli, artinya bukti tersebut harus berhubungan dengan kejadian / kasus yang terjadi dan bukan
rekayasa.
Lengkap, artinya bukti bisa dikatakan bagus dan lengkap jika di dalamnya terdapat banyak petunjuk
yang dapat membantu investigasi.
Dapat dipercaya, artinya bukti dapat mengatakan hal yang terjadi di belakangnya. Jika bukti tersebut
dapat dipercaya, maka proses investigasi akan lebih mudah.
Syarat dapat dipercaya ini merupakan suatu keharusan dalam penanganan perkara.

Untuk itu perlu adanya metode standar dalam pegambilan data atau bukti digital dan pemrosesan
barang bukti data digital, untuk menjamin keempat syarat di atas terpenuhi. Sehingga data yang diperoleh
dapat dijadikan barang bukti yang legal di pengadilan dan diakui oleh hukum.

Metodologi Standar
Pada dasarnya tidak ada suatu metodologi yang sama dalam pengambilan bukti pada data digital,
karena setiap kasus adalah unik sehingga memerlukan penanganan yang berbeda. Walaupun demikian
dalam memasuki wilayah hukum formal, tentu saja dibutuhkan suatu aturan formal yang dapat melegalkan
suatu investigasi.
Untuk itu menurut U.S. Department of Justice ada tiga hal yang ditetapkan dalam memperoleh bukti
digital:

Tindakan yang diambil untuk mengamankan dan mengumpulkan barang bukti digital tidak boleh
mempengaruhi integritas data tersebut.
Seseorang yang melakukan pengujian terhadap data digital harus sudah terlatih.
Aktivitas yang berhubungan dengan pengambilan, pengujian, penyimpanan atau pentransferan barang
bukti digital harus didokumentasikan dan dapat dilakukan pengujian ulang.
Selain itu terdapat pula beberapa panduan keprofesian yang diterima secara luas:

Pengujian forensik harus dilakukan secara menyeluruh. Pekerjaan menganalisa media dan melaporkan
temuan tanpa adanya prasangka atau asumsi awal.
Media yang digunakan pada pengujian forensik harus disterilisasi sebelum digunakan.
Image bit dari media asli harus dibuat dan dipergunakan untuk analisa.
Integritas dari media asli harus dipelihara selama keseluruhan penyelidikan.
Dalam kaitan ini terdapat akronim PPAD pada Komputer forensik:

1.
2.
3.
4.

Memelihara (Preserve) data untuk menjamin data tidak berubah.

Melindungi (Protect) data untuk menjamin tidak ada yang mengakses barang bukti.
Melakukan analisis (Analysis) data menggunakan teknik forensik.
Mendokumentasikan (Document) semuanya, termasuk langkah-langkah yang dilakukan.
6

Penanganan Barang Bukti Forensik

Para ahli atau pakar dalam bidang forensik, khususnya forensika digital mempunyai standar dalam
proses penanganan barang bukti. Hal tersebut digunakan supaya dalam proses penyidikan, data-data yang
didapatkan berasal dari sumber asli, sehingga tidak ada manipulasi bentuk, isi, dan kualitas data digital.
Proses penanganan barang bukti hingga tahapan tahapan digital forensik diantaranya:
Preserving (Memelihara dan mengamankan data)
Merupakan serangkaian aktifitas yang dilakukan oleh penyidik yang sudah ahli, untuk menjamin agar datadata yang dikumpulkan tidak berubah.
Collecting (Mengumpulkan data)
Merupakan serangkaian kegiatan untuk mengumpulkan data-data sebanyak mungkin untuk mendukung
proses penyidikan dalam rangka pencarian barang bukti.
Confirming (Menetapkan data)
Merupakan serangkaian kegiatan untuk menetapkan data-data yang berhubungan dengan kasus yang
terjadi.
Identifying (mengenali data)
Merupakan serangkaian kegiatan untuk melakukan proses identifikasi terhadap data-data yang sudah ada
agar memastikan bahwa data tersebut memang unik dan asli sesuai dengan yang terdapat pada tempat
kejadian perkara. Untuk data digital, misalnya melakukan identifikasi dengan teknik hashing (membuat
sidik jari digital terhadap barang bukti)
Analyzing (meneliti data)
Proses untuk meneliti data-data yang sudah terkumpul. Untuk data digital analisa data yang dilakukan
diantaranya memeriksa data yang sudah terhapus, tersembunyi, terenkripsi, dan history akses internet
seseorang yang tidak bisa dilihat oleh masyarakat umum
Recording (mencatat data)
Melakukan pencatatan terhadap data-data hasil temuan dan hasil analisis sehingga nantinya data tersebut
dapat dipertanggungjawabkan atau dapat direkonstruksi ulang (jika diperlukan) atas temuan barang bukti
tersebut.
Presenting (mempresentasikan data)
Kegiatan yang dilakukan penyidik untuk membeberkan hasil temuannya kepada pihak berwajib atau di
pengadilan. Biasanya presentasi data dilakukan oleh seorang ahli forensic untuk menjelaskan hal-hal yang
susah dipahami oleh kalangan umum, sehingga data-data tersebut dapat membantu proses penyidikan
untuk menemukan tersangka.
Dari berapa uraian di atas sudah sangat jelas bahwa tujuan pendefinisian metodologi standar adalah
untuk melindungi bukti digital. Mengenai penentuan kebijakan dan prosedur teknis dalam pelaksanaan
dapat disusun kemudian oleh instansi yang terkait, tentunya dengan mengacu pada metode-metode
standar yang telah ada dan disesuaikan dengan hukum yang berlaku di negara yang bersangkutan. Dari
beberapa metodologi di atas dapat digarisbawahi bahwa penggunaan bukti asli dalam investigasi sangat
dilarang dan bukti ini harus dijaga agar jangan sampai ada perubahan di dalamnya karena akan sangat
mempengaruhi kesimpulan yang diambil.

Pemrosesan Barang Bukti

Barang bukti sangat penting keberadaanya karena sangat menentukan keputusan di pengadilan, untuk itu
pemrosesan barang bukti dalam analisa forensik sangat diperhatikan. Berikut ini adalah panduan umum
dalam pemrosesan barang bukti menurut Lori Wilier dalam bukunya "Computer Forensic":

shutdown komputer, namun perlu dipertimbangkan hilangnya informasi proses yang sedang berjalan
dokumentasikan konfigurasi hardware sistem, perhatikan bagaimana komputer disetup karena
mungkin akan diperlukan restore kondisi semula pada tempat yang aman
pindahkan sistem komputer ke lokasi yang aman buat backup secara bit-by-bitdan hardisk dan floppy
barang bukti asli uji keotentikan data pada semua perangkat penyimpanan dokumentasikan tanggal
dan waktu yang berhubungan dengan file komputer buat daftar keyword pencarian evaluasi swap file,
evaluasi file slack evaluasi unallocated space (erased file) pencarian keyword pada file, file slack, dan
unallocated space dokumentasikan nama file, serta atribut tanggal dan waktu identifikasikan anomali
file, program untuk mengetahui kegunaannya dokumentasikan temuan dan software yang
dipergunakan buat salinan software yang dipergunakan.

Untuk memastikan bahwa media bukti digital tidak dimodifikasi, sebelum ia digunakan untuk
duplikasi, ia harus diset ke "Read Only", locked" atau "Write Protect", untuk mencegah terjadinya
modifikasi yang tidak disengaja. Secara baku, SLAX4 menset seluruh device sebagai read only, sehingga
mereka tidak dapat dimodifikasi dengan mudah.
Namun demikian, kami tetap menyarankan untuk melindungi media digital tersebut menggunakan
hardware write protector.

Analisa Kasus Pada Uji Forensik Objek Digital

Pada kasus seri foto pribadi tersebar luas setelah smartphone milik artis tersebut hilang sampai
seluruh akses cloud storage dibajak pelaku terhadap sepasang artis terkenal terlibat dalam skandal The
Naked Pre Wedding Photo Session . Analisa File Imaging untuk kebutuhan Foreksik berikut ini menggunakan
Software Autopsy. Imaging di dalam ilmu Forensik merupakan hasil Cloning dari sebuah Hard Disk atau
Flash Disk ataupun media penyimpanan lainnya yang digunakan untuk melakukan analisa forensik oleh
penyidik.

Mengapa melakukan Imaging ?

Barang bukti digital cepat mengalami perubahan, jadi apabila mengalami kerusakan atau kecacatan
dalam mengumpulkan barang bukti, sehingga mengalami perubahan dari aslinya, maka secara hukum
barang bukti tersebut tidak sah atau gagal.
Mengenai bagaimana cara membuat File Imaging tersebut, banyak terdapat software ataupun tools
yang Free maupun yang komersil untuk membuatnya
Pada analasi kali ini akan menjelaskan tahapan tahapan untuk menganalisa salah satu file Imaging
pada suatu kasus, tools yang digunakan adalah autopsy, bisa berjalan di Windows maupun Linux, pada
contoh analisa forensik file kali ini menggunakan Kali Linux sebagai Sistem Operasinya, biasanya disana
sudah terinstal secara otomatis file autopsy, selain Kali Linux alternatif Distro Linux lainnya adalah
menggunakan Backtrack, disana juga biasanya sudah ada software autopsy.

Beberapa tahapan Analisis Software menggunakan autopsy di Kali Linux sebagai berikut :
1. Buka program autopsy
2. Berikut tampilan autopsy berupa browser jika sudah terbuka
3. Input Case Name, dalam contoh ini UAS Cyber Forensics, Description, dan Investigator Names,
kemudian klik New Case
4. Klik Add Host dengan nama Investigator yang dipilih
5. Input mulai dari Host Name, Description, Time Zone, dan seterusnya
6. kemudian klik Add Host
7. Kemudian klik Add Image untuk menambahkan file Image
8. Klik Add Image File
9. Isi file image tersebut berada pada lokasi mana, pilih tipe image nya dan pilih import method nya
10. Klik Add
11. Klik OK
12. Pilih C:/
13. Klik File Analyses
14. Maka akan didapatkan hasil analisis tersebut berupa file-file yang ada di File Image
15. Kemudian klik export & buka open with GVim (default)
16. Maka akan ditampilkan isi dari file tersebut berupa menu-menu makanan
17. Export File yang ditemukan berikutnya
18. Berikut hasil yang didapat dari file berikutnya yang ada di File Image
19. Export file berikutnya
20. Hasil dari export
Soal 4

Anda diminta oleh Penyidik Kepolisian untuk memberikan pendapat dan analisis sebagai
Ahli terkait penemuan sejumlah dokumen dalam media penyimpan USB thumb drive yang
dipulihkan dari proses penghapusan. Informasi properties menunjukkan notasi waktu
01:01:01 dan 12/12/12.
Bagaimana cara Anda mencari referensi waktu yang sesuai?

Data Lain Pada Media

File sistem dirancang untuk menyimpan file pada suatu media. Namun demikian, file sistem dapat
pula berisikan data dan dihapusnya file atau versi lebih awal dari file yang ada. Data ini dapat menyediakan
informasi penting.
Beberapa hal berikut menguraikan bagaimana data masih dapat berada pada berbagai media:

File yang dihapus. Manakala suatu file dihapus, umumnya ia tidak dihapus dan media; melainkan
informasi struktur data direktori yang menunjuk ke lokasi file ditandai sebagai terhapus. Hal ini berarti
file masih disimpan pada media tetapi hal itu tidak lagi dihitung oleh sistem operasi tersebut. Sistem
operasi menganggap ini sebagai ruang kosong dan dapat mengisi sebagian atau seluruh file terhapus
kapanpun dibutuhkan.
Slack Space. Seperti dijelaskan sebelumnya, filesistem menggunakan unit-unit alokasi file untuk
menyimpan file. Sekalipun suatu file memerlukan ruang lebih sedikit daripada ukuran unit alokasi file,
seluruh unit alokasi file masih disediakan untuk file itu. Sebagai contoh, jika ukuran unit alokasi file
adalah 32 KB dan suatu file hanya berukuran 7 KB, keseluruhan 32 KB dialokasikan untuk file tetapi
hanya 7 KB yang digunakan, akibatnya 25 KB ruang yang tak terpakai. Ruang yang tak terpakai ini
dikenal sebagai file slack space, ia dapat berisikan data sisa seperti bagian file yang dihapus.
Free Space. Free Space adalah area pada media yang tidak dialokasikan untuk partisi apapun. la terdiri
dari cluster atau blok yang tidak teralokasi. Hal ini sering meliputi ruang pada media tempat file (dan
9

bahkan keseluruhan volume) mungkin berada pada satu waktu namun kemudian telah dihapus ruang
kosong masih dapat berisi potongan data.
Cara lain data mungkin disembunyikan adalah melalui Alternate Data Streams (ADS) di dalam volume
NTFS. NTFS telah lama mendukung berbagai arus data untuk direktori dan file. Masing-masing file pada
suatu volume NTFS terdiri dari suatu stream tak bernama yang digunakan untuk menyimpan data primer
file, dan satu atau lebih stream bernama (misalnya file.txt:Stream1, file.txt:Stream2) yang dapat digunakan
untuk menyimpan informasi tambahan seperti properti file dan gambar thumbnail data Sebagai contoh,
jika seorang user mengklik kanan pada suatu file di dalam Windows Explorer, melihat properti file dan
kemudian memodifikasi informasi yang diperlihatkan di dalam summary tab, OS menyimpan ringkasan
informasi file dalam arus bernama (named stream).
Semua arus data dalam suatu file berbagi atribut file (seperti timestamp, atribut keamanan).
Walaupun
stream bernama mempengaruhi kuota penyimpanan file, mereka sebagian besar
disembunyikan dari user sebab utilitas file Windows standar seperti Explorer hanya melaporkan ukuran
stream tak bernama (unnamed stream) file. Akibatnya, user tidak dapat menentukan apakah suatu file
berisi ADS dengan menggunakan utilitas file Windows standard. Hal ini memungkinkan data tersembunyi
berada dalam filesistem NTFS. Memindahkan file dengan ADS ke filesistem non-NTFS secara efektif
melepaskan ADS dari file, maka ADS dapat hilang jika analis tidak paham akan kehadiran mereka.

Modifikasi File, Akses, dan Waktu penciptaan

Seringkali penting untuk mengetahui kapan suatu file digunakan atau dimanipulasi, dan kebanyakan
sistem operasi mencatat timestamps tertentu yang terkait dengan file. Timestamps yang biasanya
digunakan adalah waktu modifikasi, akses, dan penciptaan modification, access, and creation', MAC),
sebagai berikut:

Waktu Modifikasi Ini adalah waktu terakhir file diubah dengan berbagai cara, meliputi ketika suatu file
ditulis dan ketika file tersebut diubah oleh program lain.
Waktu Akses. Ini adalah waktu terakhir dilakukannya akses apapun pada file (misalnya, dilihat, dibuka,
dicetak).
Waktu penciptaan. Ini biasanya merupakan waktu dan tanggal file diciptakan. Bagaimanapun, ketika
file disalinkan ke sistem, waktu penciptaan akan menjadi waktu file dicopy ke sistem yang baru.Waktu
modifikasi akan tetap utuh.

File sistem yang berbeda mungkin saja menyimpan jenis waktu yang berbeda. Sebagai contoh,
Sistem Windows menyimpan waktu modifikasi terakhir, waktu akses terakhir, dan waktu penciptaan file.
Sistem UNIX menyimpan waktu modifikasi terakhir, perubahan inode terakhir, dan waktu akses terakhir,
namun beberapa sistem UNIX (termasuk versi BSD dan SunOS) tidak memperbaharui waktu akses terakhir
file eksekutabel ketika mereka dijalankan. Beberapa sistem UNIX merekam waktu terkini ketika metadata
file diubah. Metadata adalah data tentang data; untuk filesistem, metadata adalah data yang menyediakan
informasi mengenai isi file.
Jika suatu analis ingin menetapkan garis waktu yang akurat atas suatu peristiwa, maka waktu file
harus dipelihara. Analis harus sadar bahwa tidak semua metode untuk memperoleh file dapat memelihara
waktu file. Image bit stream dapat mempertahankan waktu file karena dilakukan penyalinan bit-for-bit;
melakukan logical backup menggunakan beberapa tool dapat menyebabkanwaktu penciptaan file terubah
ketika file data disalinkan. Oleh karena itu, bila waktu file penting, harus digunakan imaging bit stream
untuk mengumpulkan data.
Analis juga harus menyadari bahwa waktu file tidak selalu akurat. Beberapa alasan ketidakakuratan
itu adalah sebagai berikut:
10

Jam komputer tidak mempunyai waktu yang benar itu. Sebagai contoh, jam mungkin tidak selalu
disinkronisasi secara teratur dengan sumber waktu resmi.
Waktu tidak mungkin direkam dengan tingkat detil yang diharapkan, seperti menghilangkan detikatau
beberapa menit.
Penyerang mungkin telah mengubah waktu file yang direkam

Isu Teknis
Beberapa isu teknis mungkin muncul dalam memperoleh file data. Seperti yang diuraikan dalam Bagian
2.2.1, isu utama adalah memperoleh sisa-sisa file dan file yang dihapus yang masih ada dalam free space
dan slack space pada media. Individu dapat menggunakan berbagai teknik untuk merintangi pengumpulan
data seperti itu. Sebagai contoh, terdapat banyak tool yang tersedia untuk melaksanakan wiping
overwriting media (atau bagian media, seperti file tertentu) dengan nilai-nilai tetap atau acak (misalnya
semua 0). Tool seperti itu berbeda dalam reliabilitas dan keandalan, tetapi umumnya efektif dalam
mencegah pengumpulan file secara mudah, terutama bila dilakukan beberapa penghapusan. Individu dapat
juga menggunakan alat-alat fisik untuk mencegah di dapatnya data, seperti demagnetizing harddrive (juga
yang dikenal sebagai degaussing) atau secara fisik merusakkan atau menghancurkan media. Kedua teknik
berbasis fisik dan software dapat membuat sangat sulit, atau bahkan mustahil, untuk memulihkan semua
data yang menggunakan perangkat lunak. Usaha pemulihan dalam kasus ini mengharuskan penggunaan
tenaga ahli khusus forensik dengan fasilitas, perangkat keras, dan teknik yang canggih, tetapi usaha dan
biaya dalam pelaksanaan hal tersebut menjadi penghalang penggunaan cara ini secara umum. Dalam
beberapa hal, data tidak dapat dipulihkan.
Isu umum lainnya adalah memperoleh data yang tersembunyi. Banyak sistem operasi mengijinkan
user menandai file, direktori, atau partisi tertentu sebagai tersembunyi, yang berarti secara baku mereka
tidak ditampilkan di dalam listing direktori. Beberapa sistem operasi dan aplikasi menyembunyikan
konfigurasi file untuk mengurangi kemungkinan user secara tidak sengaja memodifikasi atau
menghapusnya. Juga, pada beberapa sistem operasi, direktori yang telah dihapus mungkin ditandai sebagai
tersembunyi. Data yang tersembunyi dapat berisi banyak informasi; sebagai contoh, suatu partisi yang
tersembunyi bisa berisi suatu sistem operasi terpisah dan banyak file data. User dapat menciptakan partisi
yang tersembunyi dengan mengubah label partisi untuk mengganggu manajemen disk dan mencegah
aplikasi melihat adanya area data. Data tersembunyi dapat juga ditemukan di dalam ADS pada volume
NTFS, di akhirfile slack space dan free space pada medium, dan dalam Host Protected Area (HPA) pada
beberapa hard drive, yang merupakan area drive yang ditujukan hanya untuk vendor. Banyak tool
pengumpul data yang dapat mengenali beberapa atau semua metode penyembunyian data ini dan dapat
memulihkan data yang terkait. Isu lain yang mungkin muncul adalah pengumpulan data dari array RAID
yang menggunakan stripping (e.g., RAID-0, RAID-5). Di dalam konfigurasi ini, stripped volume terdiri atas
partisi berukuran sama yang berada pada disk drive terpisah. Ketika data ditulis ke volume, ia
didistribusikan secara merata ke seluruh partisi untuk meningkatkan performa disk. Hal ini akan menjadi
masalah karena semua partisi dari stripped volume harus ada untuk menguji isinya, namun dalam hal ini
partisi berada pada physical disk drives terpisah. Oleh karena itu, untuk menguji suatu stripped volume,
masing-masing disk drive di dalam array RAID perlu diimage dan konfigurasi RAID harus dibuat ulang pada
sistem pengujian. Sistem pengujian harus diboot menggunakan disk boot forensik yang dapat mengenali
dan menggunakan array RAID dan dapat mencegah penulisan ke array. Beberapa tool dapat mengambil
stripped volume dan mampu memelihara area data tak terpakai dari sebuah volume, seperti free space
dan slack space.

11

Soal 5

Anda ditunjuk sebagai Ahli oleh Pengadilan. Tugas Anda menjelaskan alat bukti berupa
suatu file dengan sejumlah informasi metadata EXIF.
Bagaimana Anda membuktikan otentisitas material tersebut?

Sebagai Ahli yang ditunjuk oleh pengadilan, Ahli Analis harus memiliki akses ke beragam tool yang
memungkinkan mereka melakukan pengujian dan analisis data, dan juga aktivitas pengumpulan. Banyak
produk forensik memungkinkan analis melakukan sejumlah proses untuk menganalisis file dan aplikasi,
serta mengumpulkan file, membaca image disk, dan mengekstraksi data dari file. Kebanyakan produk analis
juga menawarkan kemampuan membuat laporan dan mencatat seluruh kesalahan yang terjadi selama
analisis.
Proses-proses berikut adalah proses yang harus dapat dilakukan oleh analis dengan beragam tool:

Menggunakan Penglihat (viewer) File. Menggunakan penglihat file alih-alih aplikasi sumber asli untuk
menampilkan isi tipe tertentu file merupakan sebuah teknik penting untuk mempreview data, dan lebih
efisien karena analis tidak membutuhkan aplikasi natif untuk melihat setiapjenis file.
Mendekompresi file. File terkompresi mungkin berisikan file dengan informasi berguna. Karenanya
penting bagi analis untuk mencari dan membuka file terkompresi tersebut. Proses dekompresi harus
dilakukan di awal proses forensik untuk memastikan bahwa isi file terkompresi disertakan dalam
pencarian dan tindakan lain. Namun demikian, analis perlu memperhatikan bahwa file terkompresi
dapat berisikan malicious content, seperti bom kompresi, yaitu file yang dikompresi berulang kali.
Untuk meminimalkan dampaknya, mesin penguji harus menggunakan antivirus yang up-to-date dan
merupakan sistem standalone. Selain itu image mesin pengujian harus dibuat, sehingga bila
dibutuhkan, sistem dapat direstorasi.
Menampilkan struktur direktori secara grafis. Praktek ini memudahkan dan mempercepat analis untuk
mengumpulkan informasi umum tentang isi media, seperti tipe software yang terinstalasi dan
kemampuan teknikal user yang membuat data.
Identifikasi File Dikenal. Keuntungan menemukan file penting adalah jelas, namun juga bermanfaat
untuk menghilangkan file-file tidak penting untuk dipertimbangkan, seperti file aplikasi dan sistem
operasi yang dikenal bagus. Analis perlu menggunakan set hash yang telah tervalidasi, seperti yang
dibuat oleh NIST National Software Reference Library (NSRL), sebagai dasar mengindentifikasi file jahat
yang dikenal. Set hash biasanya menggunakan algoritma SHA-1 dan MD5 untuk memberikan nilai
message digest untuk setiap file yang dikenal.
Melakukan Pencarian String dan Pencocokan Pola. Pencarian string membantu dalam mencari kata
kunci atau string dalam sekumpulan data. Contoh pencarian yang umum mencakup pencarian banyak
kata dalam satu file dan pencarian versi salah eja kata tertentu. Beberapa hal yang perlu
dipertimbangkan dalam melakukan pencarian string adalah sebagai berikut:
Beberapa format file proprietary tidak dapat dicari stringnya tanpa menggunakan tool tambahan.
Selain itu, file terkompresi, terenkripsi atau dilindungi password membutuhkan proses tambahan
sebelum dilakukan pencarian string.
Penggunaan set data multi-karacter yang menyertakan karakter asing atau Unicode dapat
menyebabkan masalah dengan pencarian string.
Adanya keterbatasan tool atau algoritma pencarian. Sebagai contoh, sebuah kecocokan mungkin
tidak ditemukan untuk pencarian string jika sebagian string ada dalam satu kluster dan sisa string
berada dalam kluster lain yang tidak bersebelahan.
Mengakses File Metadata. File metadata memberikan rincian tentang file tertentu. Sebagai contoh,
mengumpulkan metadata tentang file grafis mungkin memberikan informasi mengenai waktu
penciptaan, informasi hak cipta, dan deskripsi file. Metadata untuk grafis yang dihasilkan oleh kamera
digital mungkin menyertakan pembuat dan model kamera digital yang digunakan untuk mengambil
gambar, serta seting F-stop, flash, dan aperture.
12

BAGIAN II DEFINISI (bobot soal masing-masing 10%)

Soal 1

Jelaskan perbedaan antara unallocated, unused dan slack space

http://en.wikipedia.org/wiki/Glossary_of_digital_forensics_terms
https://social.msdn.microsoft.com/Forums/sqlserver/en-US/4c5c3712-b1de-4e0a-844cd76dc61b2be0/unused-vs-unallocated-space?forum=sqldatabaseengine

UNALLOCATED SPACE
Clusters of a media partition not in use for storing any active files. They may contain pieces of files that
were deleted from the file partition but not removed from the physical disk.
Unallocated space is free space, file/db has taken from OS but no objects (tables ,indexes) have
claimed/asked for that ye
Cluster partisi media yang tidak digunakan untuk menyimpan file aktif. Mereka mungkin berisi potongan
file yang telah dihapus dari partisi berkas tetapi tidak dihapus dari disk fisik.
Ruang yang tidak terisi adalah ruang kosong, file / db telah diambil dari OS tapi tidak ada benda (tabel,
indeks) telah mengklaim / meminta untuk itu belum.

UNUSED
Unused space is specific to an object (table, index) and part of it may not be used yet
Ruang yang tidak digunakan khusus untuk obyek (tabel, indeks) dan bagian dari itu tidak boleh digunakan
belum

SLACK SPACE
The unused space at the end of a file in a file system that uses fixed size clusters (so if the file is smaller
than the fixed block size then the unused space is simply left). Often contains deleted information from
previous uses of the block.
Ruang yang tidak terpakai pada akhir file dalam sistem file yang menggunakan cluster ukuran tetap (jadi
jika file lebih kecil dari ukuran blok tetap maka ruang yang tidak terpakai hanya kiri). Sering mengandung
informasi yang telah dihapus dari penggunaan sebelumnya blok
Soal 4

Apakah yang dimaksudkan dengan volatile dan non volatile data

DATA VOLATILE
Berkas data atau program akan hilang jika listrik padam
OS berjalan dalam RAM suatu sistem. Ketika OS sedang berfungsi, isi RAM berubah secara konstan.
Di setiap waktu, RAM Dapat berisi banyak jenis informasi dan data yang mungkin menarik. Sebagai contoh,
13

RAM sering berisi data yang sering diakses serta terakhir diakses, seperti file data, password hashes, dan
perintah terbaru. Seperti file sistem, ram dapat berisi data sisa dalam slack dan free space, sebagai berikut:

Slack space. Slack space memori lebih kurang deterministik daripada file slack space. Sebagai contoh,
osbiasanya mengatur memori dalam unit yang dikenal sebagai halaman atau blok, dan
mengalokasikannya bagi aplikasi yang meminta. Kadang-kadang meskipun aplikasi tidak meminta
keseluruhan unit, tetapi diberikan juga. Jadi data sisa dapat saja berada dalam unit memori yang
dialokasikan ke aplikasi, meskipun ia tidak dapat diakses Oleh aplikasi. Untuk efisiensi dan kinerja,
beberapa sistem operasi memvariasikan ukuran unit yang mereka alokasikan, yang cenderung
menghasilkan space memori slack yang lebih kecil.
Free space. Halaman memori dialokasikan dan didealokasikan seperti himpunan file. Ketika mereka
tidak dialokasikan, halaman memori sering dikumpulkan dalam kelompok umum halaman yang
tersedia, prosesnya Dikenal sebagai garbage collection. Tidaklah aneh bagi data sisa berada di halaman
memori yang dapat digunakan kembali, yang serupa dengan kluster file yang belum dialokasikan.

Beberapa jenis data volatil penting lainnya yang mungkin ada dalam suatu OS adalah :
1. Konfigurasi jaringan. Walaupun banyak elemen jaringan, seperti driver kartu penghubung jaringan
(Network Interface Card atau NIC) dan seting konfigurasi, umumnya disimpan dalam file sistem, secara
alami jaringan bersifat dinamis. Sebagai contoh, banyak host yang diberikan alamat IP secara dinamis
oleh host lainnya, yang berarti bahwa alamat IP mereka tidak menjadi bagian konfigurasi yang
disimpan. Banyak host juga mempunyai beragam interface jaringan, seperti wired, wireless, virtual
private network (VPN), dan modem; konfigurasi jaringan yang sekarang menandai interface yang
digunakan. User mungkin dapat mengubah konfigurasi interface jaringan, seperti mengubah alamat IP
secara manual. Jika memungkinkan, analis perlu menggunakan konfigurasi jaringan yang sekarang,
bukan konfigurasi yang tersimpan.
2. Hubungan jaringan. OS memfasilitasi koneksi antara sistem dan sistem lainnya. Kebanyakan OS dapat
menyediakan daftar koneksi jaringan yang keluar dan masuk saat ini, dan beberapa OS dapat
menampilkan daftar koneksi terkini.
3. Proses yang berjalan. Proses adalah program yang sedang dijalankan suatu komputer. Proses meliputi
layanan yang ditawarkan oleh OS dan aplikasi yang dijalankan oleh administrator dan user.
Kebanyakan OS menawarkan cara untuk melihat daftar proses yang saat ini sedang berjalan. Daftar ini
dapat dipelajari untuk menentukan layanan yang aktif pada sistem. Mengidentifikasi proses yang
berjalan bermanfaat untuk mengidentifikasi program yang harus berjalan namun telah ditiadakan atau
dihapus.
4. File terbuka. OS memelihara daftar file terbuka, yang biasanya meliputi user atau proses yang
membuka file.
5. Sesi login. OS umumnya memelihara informasi tentang user yang login saat ini (dan waktu awal serta
durasi setiap sesi), login yang gagal dan sukses sebelumnya, penggunaan istimewa, serta impersonasi.
Namun demikian, informasi sesi login hanya tersedia bila komputer telah dikonfigurasi untuk
mengaudit usaha login. Catatan logon dapat membantu menentukan kebiasaan penggunaan user dan
mengkonfirmasi apakah akun user aktif ketika terjadi sebuah peristiwa.
6. Waktu sistem operasi. OS memelihara waktu sekarang dan menyimpan waktu daylight saving serta
informasi zona waktu. Informasi ini dapat bermanfaat ketika membuat garis waktu peristiwa atau
mengkorelasikan peristiwa di antara sistem yang berbeda. Analis harus tahu bahwa waktu yang
diberikan oleh sistem operasi mungkin berbeda dengan bios karena seting khusus os, seperti wilayah
waktu.

14

DATA NON VOLATILE

Berkas data atau program tidak akan hilang sekalipun listrik dipadamkan
Sumber utama data non volatil dalam suatu os adalah filesistem. Filesistem juga biasanya merupakan
sumber data yang paling kaya dan yang paling besar di dalam os, berisikan informasi yang dipulihkan
selama peristiwa forensik. Filesistem menyediakan penyimpanan untuk os pada satu atau lebih media.
Suatu filesistem umumnya berisi banyak jenis file yang berbeda, yang mungkin bernilai bagi analis dalam
situasi yang berbeda.
Daftar berikut menguraikan beberapa jenis data yang biasanya ditemukan di dalam file sistem OS:

File konfigurasi. Os dapat menggunakan file konfigurasi untuk menyimpan seting os dan aplikasi.
Sebagai contoh, file konfigurasi dapat mendaftarkan layanan yang dimulai secara otomatis setelah sistem
diboot, dan menetapkan lokasi log files dan file temporer. User juga dapat memiliki file konfigurasi os dan
aplikasi sendiri yang berisi pilihan dan informasi spesifik untuk user, seperti pengaturan yang terkait
dengan perangkat keras (misalnya, resolusi layar, setingan printer) dan asosiasi file.
File konfigurasi yang menarik adalah sebagai berikut:
1. User dan kelompok. OS menyimpan catatan tentang akun user dan kelompok. Informasi akun ini dapat
meliputi keanggotaan kelompok, uraian dan nama akun, ijin akun, status akun (misalnya, aktif,
ditiadakan), dan path ke direktori home akun.
2. File sandi. OS mungkin menyimpan hash password dalam file data. Berbagai tool password cracking
dapat digunakan untuk mengkonversi hash password ke clear text ekivalennya untuk os tertentu.
3. Pekerjaan yang dijadwalkan. OS memelihara daftar tugas yang dijadwalkan supaya dapat dilakukan
secara otomatis pada waktu tertentu (misalnya, melaksanakan pemeriksaan virus tiap minggu).
Informasi yang dapat diperoleh meliputi nama tugas, program yang digunakan untuk melaksanakan
tugas, argumen dan switch perintah baris, waktu dan hari saat tugas dilakukan.
Log. File log OS berisi informasi tentang berbagai peristiwa sistem operasi, dan dapat juga berisi informasi
peristiwa spesifik tergantung pada OS, log mungkin disimpan dalam file teks, file biner dengan format
proprietary, atau database. Beberapa OS menulis entri log ke dua atau lebih file terpisah. Jenis informasi
yang umum ditemukan dalam log os adalah:
1. Peristiwa sistem. Peristiwa sistem adalah tindakan operasional yang dilakukan oleh komponen os,
seperti mematikan sistem atau memulai suatu layanan. Umumnya, peristiwa gagal dan peristiwa
penting yang sukses akan dicatat, tetapi banyak sistem operasi mengijinkan admin sistem menetapkan
peristiwa mana yang akan dicatat setiap peristiwa biasanya diberi penanda waktu; informasi
pendukung lain dapat meliputi kode peristiwa, kode status, dan nama user.
2. Arsip audit. Arsip audit berisi informasi peristiwa keamanan seperti sukses dan tidaknya usaha
otentikasi dan perubahan kebijakan keamanan. Os umumnya mengijinkan admin sistem menetapkan
jenis peristiwa mana yang harus diaudit.
3. Peristiwa aplikasi. Peristiwa aplikasi adalah tindakan operasional penting yang dilakukan oleh aplikasi,
seperti awal dan akhir aplikasi, kegagalan aplikasi, dan perubahan besar konfigurasi aplikasi.
4. Sejarah perintah. Beberapa sistem operasi mempunyai log file yang terpisah (umumnya untuk setiap
pemakai) yang berisi sejarah perintah os yang dilakukan oleh pemakai tersebut. File yang baru diakses.
Suatu sistem operasi mungkin mencatat file terakhir yang diakses atau pemakaian lain, menciptakan
daftar file yang terkini diakses.
File aplikasi. Aplikasi dapat terdiri atas banyak jenis file, termasuk executable, skrip, dokumentasi, file
konfigurasi, file log, file sejarah, grafik, suara, dan ikon. File data. File data menyimpan informasi aplikasi.
15

Beberapa contoh file data umum adalah file teks, pengolah kata dokumen, spreadsheet, database, file
audio, dan file grafik.

Swap files. Kebanyakan os menggunakan swap file bersama dengan random access memory (ram)
untuk menyediakan penyimpanan sementara bagi data yang sering digunakan aplikasi. Pada dasarnya
swap file meningkatkan jumlah memori yang tersedia bagi suatu program dengan memungkinkan
halaman (atau segmen) data untuk ditukarkeluar dan masuk RAM.
Dump file. Beberapa os memiliki kemampuan menyimpan isi memori secara otomatis selama kondisi
kesalahan untuk membantu dalam troubleshooting berikutnya. File yang berisikan isi memori yang
disimpan dikenal sebagai dump file.
File hibernasi. File hibernasi dibuat untuk menyimpan status sistem saat ini (khususnya adalah laptop)
dengan merekam memori dan file terbuka sebelum mematikan sistem itu. Ketika sistem dinyalakan
setelahnya, status sistem dikembalikan.
File sementara. Selama instalasi sistem operasi, aplikasi; update atau upgrade OS atau aplikasi, file
sementara sering dibuat. Meskipun file ini umumnya dihapus pada akhir proses instalasi, hal ini tidak
selalu terjadi. File sementara juga diciptakan ketika banyak aplikasi yang dijalankan, file ini akan
dihapus ketika aplikasi berakhir, tetapi hal ini tidak selalu terjadi.

Walaupun file sistem adalah sumber utama data non volatil, sumber menarik lainnya adalah sistem
input output dasar (Basic Input/Output System, atau sering dikenal dengan BIOS). BIOS berisi jenis
informasi yang terkait dengan perangkat keras, seperti alat yang dipasang (misalnya CD-ROM drives, hard
drives), jenis koneksi dan Interrupt Request Line (IRQ) assignments (misalnya serial, USB, kartu jaringan),
komponen-komponen motherboard (misalnya, tipe dan kecepatan prosesor, cache size, informasi memori),
seting keamanan sistem, dan hot key. BIOS juga berkomunikasi dengan driver raid dan menampilkan
informasi yang disajikan driver itu. Sebagai contoh, BIOS memandang perangkat keras raid sebagai single
drive dan perangkat lunak raid debagai multiple drive. BIOS biasanya mengijinkan user menetapkan
password yang membatasi akses ke pengaturan bios dan dapat mencegah sistem booting tanpa password.
BIOS juga menyimpan waktu dan tanggal sistem.
Soal 5

Jelaskan istilah berikut: steganography, encryption dan compression

http://en.wikipedia.org/wiki/Steganography
http://en.wikipedia.org/wiki/Encryption
STEGANOGRAPHY
Steganografi (AS Listeni / st.n.r.fi /, Inggris /st.n.r.fi/) adalah seni atau praktek
menyembunyikan file, pesan, gambar, atau video yang di dalam yang lain berkas, pesan, gambar, atau
video. Kata steganografi menggabungkan Yunani Kuno kata steganos (), yang berarti "tertutup,
tersembunyi, atau dilindungi", dan graphein () yang berarti "menulis". Penggunaan tercatat
pertama dari istilah itu pada 1499 oleh Johannes Trithemius di Steganographia, sebuah risalah pada
kriptografi dan steganografi, menyamar sebagai sebuah buku tentang sihir. Umumnya, pesan tersembunyi
akan tampak (atau menjadi bagian dari) sesuatu yang lain: gambar, artikel, daftar belanja, atau beberapa
teks penutup lainnya. Sebagai contoh, pesan tersembunyi mungkin dalam tinta tak terlihat antara garisgaris yang terlihat dari surat pribadi. Beberapa implementasi dari steganografi yang tidak memiliki rahasia
bersama adalah bentuk keamanan melalui ketidakjelasan, sedangkan skema steganografi key-dependent
mematuhi prinsip Kerckhoffs itu. [1]
Keuntungan dari steganografi lebih kriptografi sendiri adalah bahwa pesan rahasia yang dimaksud tidak
menarik perhatian pada dirinya sendiri sebagai objek pengawasan. Pesan-tidak jelas terlihat terenkripsi
peduli seberapa bisa dipecahkan-akan membangkitkan minat, dan mungkin dalam diri mereka akan
memberatkan di negara-negara di mana enkripsi adalah ilegal. [2] Dengan demikian, sedangkan kriptografi
16

adalah praktek melindungi isi pesan saja, steganografi berkaitan dengan menyembunyikan fakta bahwa
pesan rahasia sedang dikirim, serta menyembunyikan isi pesan.
Steganografi termasuk penyembunyian informasi dalam file komputer. Dalam steganografi digital,
komunikasi elektronik dapat mencakup steganografi coding dalam lapisan transport, seperti file dokumen,
file gambar, program atau protokol. File media yang ideal untuk transmisi steganografi karena ukurannya
yang besar. Misalnya, pengirim mungkin mulai dengan file gambar tidak berbahaya dan menyesuaikan
warna setiap pixel ke-100 untuk sesuai dengan surat dalam alfabet, perubahan begitu halus bahwa
seseorang tidak secara khusus mencari untuk itu tidak mungkin untuk melihatnya

ENCRYPTION
Dalam kriptografi, enkripsi adalah proses encoding pesan atau informasi sedemikian rupa sehingga hanya
pihak yang berwenang dapat membacanya [1] Enkripsi tidak dengan sendirinya mencegah intersepsi, tapi
membantah isi pesan ke pencegat [2]:.. 374 Dalam skema enkripsi, pesan atau informasi, disebut sebagai
plaintext, dienkripsi menggunakan algoritma enkripsi, menghasilkan ciphertext yang hanya bisa dibaca jika
didekripsi. [2] untuk alasan teknis, skema enkripsi biasanya menggunakan kunci enkripsi pseudo-acak yang
dihasilkan oleh algoritma. Hal ini pada prinsipnya mungkin untuk mendekripsi pesan tanpa memiliki kunci,
namun, untuk skema enkripsi yang dirancang dengan baik, sumber daya komputasi besar dan keterampilan
yang diperlukan. Penerima yang berwenang dapat dengan mudah mendekripsi pesan dengan kunci yang
disediakan oleh originator kepada penerima, tetapi tidak untuk pencegat yang tidak sah.
COMPRESSION
http://www.mahanani.web.id/2012/11/pengertian-kompressing-file.html
Dalam ilmu komputer dan teori informasi , kompresi data atau sumber pengkodean adalah proses
encoding informasi dengan menggunakan lebih sedikit bit (atau unit informasi-bantalan lainnya) dari
sebuah unencoded representasi akan menggunakan, melalui penggunaan khusus pengkodean skema.
Dalam komputasi, deduplication data adalah teknik kompresi data khusus untuk menghilangkan datagrained berlebihan kasar, biasanya untuk meningkatkan utilisasi storage. Seperti komunikasi apapun,
dikompresi komunikasi data hanya bekerja jika kedua pengirim dan penerima informasi memahami skema
pengkodean. Misalnya, teks ini masuk akal hanya jika penerima mengerti bahwa itu adalah dimaksudkan
untuk ditafsirkan sebagai karakter yang mewakili bahasa Inggris. Demikian pula, data terkompresi hanya
dapat dipahami jika metode decoding diketahui oleh penerima.
BAGIAN III KESIMPULAN (bobot soal 10%)

CYBER CRIME
Kejahatan dunia maya (Inggris: cybercrime) adalah istilah yang mengacu kepada aktivitas kejahatan
dengan komputer atau jaringan komputer menjadi alat, sasaran atau tempat terjadinya kejahatan.
Termasuk ke dalam kejahatan dunia maya antara lain adalah penipuan lelang secara online, pemalsuan cek,
penipuan kartu kredit/carding, confidence fraud, penipuan identitas, pornografi anak, dll.
Walaupun kejahatan dunia maya atau cybercrime umumnya mengacu kepada aktivitas kejahatan
dengan komputer atau jaringan komputer sebagai unsur utamanya, istilah ini juga digunakan untuk
kegiatan kejahatan tradisional di mana komputer atau jaringan komputer digunakan untuk mempermudah
atau memungkinkan kejahatan itu terjadi.
17

Contoh kejahatan dunia maya di mana komputer sebagai alat adalah spamming dan kejahatan
terhadap hak cipta dan kekayaan intelektual. Contoh kejahatan dunia maya di mana komputer sebagai
sasarannya adalah akses ilegal (mengelabui kontrol akses), malware dan serangan DoS.

KEBUTUHAN AKAN FORENSIK

Dalam satu dekade terakhir, jumlah kejahatan yang melibatkan komputer telah meningkat pesat,
mengakibatkan bertambahnya perusahaan dan produk yang berusaha membantu penegak hukum dalam
menggunakan bukti berbasis komputer untuk menentukan siapa, apa, di mana, kapan, dan bagaimana
dalam sebuah kejahatan. Akibatnya, komputer forensik telah berkembang untuk memastikan presentasi
yang tepat bagi data kejahatan komputer di pengadilan. Teknik dan tool forensik seringkali dibayangkan
dalam kaitannya dengan penyelidikan kriminal dan penanganan insiden keamanan komputer, digunakan
untuk menanggapi sebuah kejadian dengan menyelidiki sistem tersangka, mengumpulkan dan memelihara
bukti, merekonstruksi kejadian, dan memprakirakan status sebuah kejadian. Namun demikian, tool dan
teknik forensik juga dapat digunakan untuk tugas-tugas lainnya, seperti :
Operational Troubleshooting. Banyak tool dan teknik forensik dapat digunakan untuk melakukan
troubleshooting atas masalah-masalah operasional, seperti menemukan lokasi fisik dan virtual sebuah
host dengan konfigurasi jaringan yang tidak tepat, mengatasi masalah fungsional dalam sebuah
aplikasi.
Log Monitoring. Beragam tool dan teknik dapat membantu dalam melakukan monitoring og, seperti
menganalisis entri log dan mengkorelasi entri log dari beragam sistem. Hal ini dapat membantu dalam
penanganan insiden, mengidentifikasi pelanggaran kebijakan, audit, ddan usaha lainnya.
Data Recovery. Terdapat lusinan tool yang dapat mengembalikan data yang hilang dari sistem,
termasuk data yang telah dihapus atau dimodifikasi baik yang disengaja maupun tidak.
Data Acquisition. Beberapa organinasi menggunakan tool forensik untuk mengambil data dari host
yang telah dipensiunkan. Sebagai contoh, ketika seorang user meninggalkan organisasi, data dari
komputer user tersebut dapat diambil dan disimpan bilamana dibutuhkan di masa mendatang. Media
komputer tersebut lalu dapat disanitasi untuk menghapus semua data user tersebut.
Due Diligence/Regulatory Compliance. Regulasi yang ada dan yang akan muncul mengharuskan
organisasi melindungi informasi sensitif dan memelihara beberapa catatan tertentu demi kepentingan
audit. Juga, ketika informasi yang dilindungi terekspos ke pihak lain, organisasi mungkin diharuskan
untuk memberitahu pihak atau individu yang terkena dampaknya.
Forensik dapat membantu organisasi melakukan due diligence dan mematuhi persyaratan tersebut
Berbicara mengenai tindak kejahatan (Crime), tidak terlepas dari lima faktor yang terkait, antara lain
karena adanya pelaku kejahatan, modus kejahatan, korban kejahatan, reaksi sosial atas kejahatan, dan
hukum. Berdasarkan beberapa pustaka, sebagian besar menyebutkan bahwa pelaku Cyber Crime adalah
para remaja yang berasal dari keluarga baik baik, bahkan berotak encer. Hukum positif di Indonesia masih
bersifat lex loci delicti yang mencakup wilayah, barang bukti, tempat atau fisik kejadian, serta tindakan
fisik yang terjadi. Padahal kondisi pelanggaran yang mungkin terjadi di CyberSpace dapat dikatakan sangat
bertentangan dengan hukum positif yang ada tersebut. Dalam Cyber Crime, pelaku tampaknya memiliki
keunikan tersendiri, secara klasik kejahatan terbagi dua : Blue Collar Crime dan White Collar Crime. Pelaku
Blue Collar Crime biasanya dideskripsikan memiliki stereotip, seperti dari kelas social bawah, kurang
terdidik, berpenghasilan rendah, dsb. Sedangkan White Collar Crime, para pelaku digambarkan sebaliknya.
Mereka memiliki penghasilan yang tinggi, berpendidikan, dsb. Untuk pelaku CyberCrime, pembagian
teoritis demikian tampaknya kurang mengena lagi. Karena dipacu oleh perkembangan teknologi yang
pesat, telah menghasilkan komunitas yang lebih kompleks. Dampak dari kehidupan yang semakin
kompleks, telah memperlebar celah celah kriminalitas, maka Polri harus sedini mungkin berperan secara
aktif sebagai anggota masyarakat global Cyberspace. CyberPolice merupakan polisi yang dilatih dan
ditugaskan untuk menangani kasus kasus di dalam segala tindakan kriminal yang dilakukan di dunia maya
CyberSpace. Andaikata CyberPolice tidak segera diwujudkan, maka semua kejahatan yang timbul di dunia
CyberSpace tidak dapat dijangkau oleh POLRI.
18

BAGIAN IV TUGAS TAMBAHAN

2. Menyusun paper ulasan (paper review) satu Jurnal atau Proceedings tentang computer/digital forensic.
Bisa berupa ringkasan (resume) maupun kritik.
IJoFCS (2013) 1, 8-12
The International Journal of
FORENSIC COMPUTER SCIENCE
www.IJoFCS.org

DOI: 10.5769/J201301001 or http://dx.doi.org/10.5769/J201301001

Forensic Examination And Imaging Of Password

Protected Moveable Media Cards
Waghmare, N.P(1), Toofany, M.A., Anubha lal(1),
Eniysvan(1), Ajay Pande(1), R.K.Sarin(1)
(1) Computer Forensic Unit, Forensic Science Laboratory,
GNCT, Sector-14,Rohini,Delhi-85..
Email: npwaghmare@rediffmail.com

Abstract - In digital world memory cards are an extension to users ability for storing, transferring
and sharing data. Many digital devices available in the open market are designed to support the
requirement of adding extra memory in the form of memory cards. With increasing use of such types
of data storage devices their value as a source of digital evidence cannot be ignored. Multimedia
memory cards may be recovered from devices such as mobile phone, digital cameras, and PDAs.
Password protection to the storage devices can be a big challenge to forensic examiners. In this
paper an attempt has been made to provide solutions to digital forensic examiners in handling cases
where memory cards are protected with a secrete password. The suggested procedure allows the
examiner to remove the password and to image the memory card for further analysis.
Key words: Memory card, digital evidence, password protection, forensic examiner

19

1. INTRODUCTION
Over the years there has been an ever increasing demand for more storage capacity and portability
of electronic devices. History has witnessed the change in storage media technology from the floppy
disk (1.44 Mb) to blue ray disc (25,000 Mb). But the greatest change of all revolutions in storage media
facility was the introduction of the pen drive and the Memory cards. These memory cards are
manufactured in various dimensions and specific technical aspects. At present, in open market more
than 20 types of media cards are available [1-3]. These media cards provide users with the ease of
portability and compatibility with numerous digital devices. Memory card can be used as external
memory in a mobile phone as well as in a digital camera. The memory card can also be inserted in a
memory card reader that can transfer the digital data captured from an electronic device to a computer.
As such devices are so commonly in use, they are frequently encountered in many crimes as digital
evidences having digital data in the form of digital pictures, messages, phone book, or even higher
documents such as Microsoft office files. Retrieving data from such media card can be of major
significance in providing clues to solve a crime.
The aspect of increasing storing capacity has also brought about significant change in the concept of
security. Data which is stored on memory cards can be very sensitive and may include credit card
numbers, pin code numbers, phone books, encrypted messages and personal messages[4-8]. To
prevent the theft or un-authorized access to a memory card, the introduction of encrypted password
within digital devices provides a very secure means for the user. But nevertheless, this has created more
difficulty in their forensic examination[9-14]. In this paper we aim at explaining the difficulties
encountered during forensic examination of password protected moveable media cards and also
providing a guide line to forensic examiners in case they come across such types of password protected
devices.

2. METHODS AND MATERIALS

The analysis involved the media cards such as Multimedia memory cards (MMC), Slot cards (SD
Cards), Compact flash Card (CF cards), Sony pro duo stick, mini SD cards. The cards were first
completely formatted by placing them in a 16 in 1 memory card reader and using the hard erase
function so as to remove any data that might be present on them. One reduced size memory card
(reduced MMC) of 512Mb (Kingston) was then placed in a mobile phone of Nokia make (Nokia N70).
Some data from the phone was then copied to the memory card and a password was applied to the
memory card. The card was then removed. A second memory card of same model (512Mb Kingston)
was then placed in the same phone (Nokia N70) and the same data was transferred on it but in this case
no password was applied to it.

Figure 1. Compact flash, MMC card and 16 in 1 Memory card reader

20

Both cards were then placed in a memory card reader attached to a laptop (Compact Presario 2200)
and standard forensic software (EnCase and AccessData Forensic Toolkit) was used in imaging the
memory cards (refer Figure 1). The same steps were performed with different media cards using
compatible digital devices that support them. One copy was password protected while the other copy
was left unprotected.
The digital devices that were used in pass-word protecting the media cards were kept for further
analysis and for retrieving data that could be relevant for analyzing the memory cards. The devices were
properly labeled to with their respective memory cards and were switched off.

3. RESULTS AND DISCUSSIONS

The analysis of memory cards, both the protected and unprotected ones yielded some very
interesting observations. A memory card that is not password protected would simply auto execute and
display the contents of the cards. The imaging can be done in a similar manner as that of standard hard
disk with no major complications. On the other hand a memory card that is password protected when
inserted in the memory card reader does not auto executes. This is due to the fact that the password
protection mechanism also locks the auto.exe files. The protection mechanism will also cause the
memory card not to be displayed. So, when trying to access, it will simply not open. This is a major
problem, as the memory card cannot be accessed or cannot be displayed and forensic tools are not
capable of producing an image of the memory card.
It is also important to note that while inserting the memory card in the card reader the computer can
give an indication that the media card is not formatted and the forensic examiner should be careful as
not to format the card or data can be lost permanently.
The interesting fact about memory cards is that the key to unlock the password present is located
within the memory card itself. Since protection mechanism denies access to card by not displaying the
card, it is not possible to un-lock the card with any form of brute force or dictionary attack. This literally
means that it is not possible to unlock the password protected memory card by connecting it to a
computer.
The process of imaging password protected memory cards firstly requires the removal of the
protection key. The solution in removing this key lies within the digital device that was used to protect
this memory card. This device may not be present in all cases or may not be know by the examiner so
alternative solutions are recommended.

3.1. Steps for removing a password from a memory card

1.

2.
3.
4.
5.
6.
7.

Make an image of the whole system file of the phone memory or in cases where the device is not
supported by data cable then make use of a phone registry Symbian software (FExplorer) and
install it on the phone memory. This phone registry software will give full access to the whole
registry system of the phone
Locate a file that is called MMCSTORE. This file contains a list of passwords that have been used
to lock the memory cards
Copy the file or send if using Bluetooth to another folder
Rename the file to MMCSTORE.txt
Open the file and the password will be displayed in it. This number corresponds to the key that
has been used in locking the memory card the corresponds to the password within the memory
card it will not ask for the password.
Insert the memory card inside the phone. of the digital data that is present on the card. If the
password on the MMCSTORE file corresponds to the password within the memory card it will not
ask for the pass-word
Now navigate to the memory card and remove any password by inserting the password
recovered from the MMCSTORE file.

21

8.

Take the memory card out and place it in the card reader and the imaging can be done.

In certain situations the key for unlocking the memory card might not be on the MMCSTORE file or
the key found on the MMCSTORE file might not be the right key and this could be due to:
a)
b)
c)

If the phone has been formatted that would also erase any key that were pres-ent on the
MMCSTORE file.
If the key doesnt match the password of the memory card it might be that another digital
device has been used in locking the memory card.
Another reason is that if more than three wrong hits of the password is done then automatically
the memory card password will be changed and locked. This would mean very minimal chances
of retrieving any data from it.

In cases where it is not possible to find the key to unlock the password it is recommended that the
examiner performs a HEX dump of the memory card (see Figure 2). This is a very te-dious work as it
would require long hours for decrypting the data present from the HEX dump but its the best way at
this time to keep a copy.

Figure 2. HEX dump format

22

Another method that we propose but that is more destructive in nature and that should be used
in critical scenarios is a type of reverse formatting. The concept is removing the key by erasing it.
This also erases some of the data that is present on the card but the data can be brought back by
using forensic data recovery software toolkit. The type of recovery that should be done is a RAW
format recovery. RAW recovery will provide us with maximum information from the memory card.
The only problem with RAW recovery is that the data can once again be in encrypted format and it
would require great ef-fort to decrypt it. This method is also destructive and does not guarantee
100% recovery of data and this method should be performed in extreme cases.

4. CONCLUSION
When performing an imaging of a memory card, the examiner should confirm whether the
memory card is password protected or not. A memory card that cannot be read by a computer does
not imply that it is physically damaged, it could be an indication that it is password protected. The
memory card has to be placed in a phone that is supporting it and if a pass-word is requested it
confirms that memory card is locked. If the memory card is placed in the phone that is also sent
along for examination and no password is requested and the contents of the memory card can be
read from the phone it confirms that the password needed to open the memory card is saved on the
MMCSTORE file. Extracting that file would allow the examiner to get hold of the key to unlock the
memory card. If a password is not present in the MMCSTORE file then a HEX dump is firstly
recommended and in extreme cases the proposed reverse formatting can be implemented.
Even though mobile forensic kits are now readily available and they have the potential of reading
the memory card contents in mobile phones but there is no such device yet that would allow us to
work directly on password protected memory cards alone. The only solution, at present for in
forensic imaging of password protected media cards are the proposed methods mentioned above.

ACKNOWLEDGEMENT
Authors are very thankful to Director, Forensic Science laboratory, GNCT of Delhi, Sector-14,
Rohini, Delhi for his keen interest and constant encouragement.

REFERENCES
[1] Types of memory cards- http://www.camerahacker.com/ CompactFlash/Types_of_Memory_Cards.shtml
[2] Gerry Masters and Philip Turner; Forensic data recovery and examination of magnetic swipe card cloning devices, In:Digital Investigation, Volume
4, Supplement 1, September 2007, Pages 16-22

[3] Philip Turner, Unification of digital evidence from disparate sources (Digital Evidence Bags); In: Digital Investigation, Volume 2, Issue 3,
September 2005, Pages 223-228
[4] Barrie Mellars; Forensic examination of mobile phones; In: Digital Investigation, Volume 1, Issue 4, December 2004, Pages 266-272

[5] Casey Eoghan. Chapter 13: Forensic examination of handheld devices, Digital Evidence and Computer Crime. 2nd ed. Academic Press;
March 2004.
[6] Wiechmann Fred J.; Processing flash memory media; New Technologies Inc.; November 2002. http://www.forensics-intl. com/
art16.htmlO.
[7] SD Card Association - http://www.sdcard.org/about/memory_card/
[8] Memory card data recovery utility- http://www.recoverdata.in/ recovery-data/memory-card-data-recovery-utilities.html
[9] Encase forensic- http://www.guidancesoftware.com/products/ef_ works.asp
[10] Thakur, Roshan; Chourasia, Khyati; and Thakur, Bhupendra; Data Base Forensics of Mobile Phone, In: The International Journal of
Forensic Computer Science IJoFCS, Volume 7, Number 1, pages: 42-50, ISSN: 1809-9807, DOI: 10.5769/J201201004.
[11] Simo, Andr; Scoli, Fbio; Melo, Laerte; Deus, Flvio; and Sousa Jnior, Rafael; Acquisition and Analysis of Digital Evidence in
Android Smartphones; In: The International Journal of Forensic Computer Science IJoFCS, Volume 6, Number 1, pages: 28-43, ISSN:
1809-9807, DOI: 10.5769/J201101002.
[12] Lallie, Harjinder; and Benford, David; Challenging the Reliability of iPhone - Geo-tags; In: The International Journal of Forensic
Computer Science IJoFCS, Volume 6, Number 1, pages: 59-67, ISSN: 1809-9807, DOI: 10.5769/J201101004.
[13] Kathirvel, Ayyaswamy, and R. Srinivasan; Double Umpiring System for Ad Hoc Wireless Mobile Network Security; In: The International Journal
of Forensic Computer Science IJoFCS, Volume 5, Number 1, pages: 22-29, ISSN: 1809-9807, DOI: 10.5769/J201001003.

[14] Rosa, Antonio; Barboni, Daniel; and Quintiliano, Paulo; Mobile Positioning Methods used in Location-Based Services in GSM, WCDMA
and WLAN Networks; In: The International Journal of Forensic Computer Science IJoFCS, Volume 5, Number 1, pages: 51-59; ISSN:
1809-9807, DOI: 10.5769/J200801005.

23

RESUME / RINGKASAN
The International Journal of
FORENSIC COMPUTER SCIENCE
DOI: 10.5769/J201301001 or http://dx.doi.org/10.5769/J201301001

Forensic Examination And Imaging Of Password

Protected Moveable Media Cards
Waghmare, N.P(1), Toofany, M.A., Anubha lal(1), Eniysvan(1),
Ajay Pande(1), R.K.Sarin(1)
(1) Computer Forensic Unit, Forensic Science Laboratory,
GNCT, Sector-14,Rohini,Delhi-85..
Email: npwaghmare@rediffmail.com
BUKU INTERNASIONAL TENTANG ILMU PEGETAHUAN KOMPUTER DALAM BIDANG FORENSIK

TES FORENSIK DAN GAMBARAN DARI KARTU MEDIA YANG DAPAT

DIGUNAKAN UNTUK MELINDUNGI KATA SANDI
ABSTRAK
Kartu memori dalam dunia/ranah digital adalah sebuah kemajuan terhadap kemampuan pengguna
untuk menyimpan, mengirim dan berbagi data/materi/bahan. Banyak sekali alat alat digital yang tersedia
dengan terbuka di pasaran yang di rancang untuk mendukung keperluan dalam hal menambahkan
memori tambahan dalam bentuk kartu memori. Dengan meningkatkan penggunaan seperti jenis alat
penyimpanan data nilai dari sumber jenis tersebut sebagai fakta digital yang tidak bisa di abaikan
Kartu memori multimedia saat ini bisa disimpan di dalam alat seperti handphone, kamera digital,
dan PDA. Perlindungan terhadap kata sandi terhadap alat alat penyimpan data bisa menjadi sebuah
tantangan yang luar biasa untuk para penguji dari badan forensik. Di dalam jurnal ini sebuah usaha telah
di buat untuk memberikan jalan keluar untuk membantu para penguji forensik dalam menangani kasus
kasus diman kartu memori dilindungi dengan menggunakan sandi yang sifat nya rahasia. Sebuah cara
atau usulan mengijinkan penguji untuk memindahkan kata sandi ke memory bayangan untuk mengetahui
analisis lebih jauh lagi.
Kata Kunci : Kartu memori, bukti digital, proteksi password, pemeriksa forensic.
1. PENDAHULUAN
Lebih dari beberapa tahun sebuah peningkatan menuntut untuk membuat alat alat elektronik yang
memiliki kapsitas penyimpanan dan portabilitas yang lebih dari yang sebelumnya. Sejarah menyaksikan
sebuah perkembangan dari teknologi media penyimpanan data yaitu perubahan dari floopy disk disk
(1.44 Mb) to blue ray disc (25,000 Mb).
Tapi perkembangan yang paling luar biasa adalah perubahan seluruh fasilitas media penyimpanan
data yaitu adanya pena penggerak dan kartu memori. Kartu kartu memori tersebut di ciptakan dengan
dimensi yang beragam dan segi teknik yang khusus. Masa kini di pasaran tersedia lebih dari 20 jenis
kartu memori. Dalam kartu media tersebut memudahkan para pengguna untuk kesesuaian dan
portabilitas dengan alat digital yang lebih banyak. Kartu memori bisa digunakan sebagai memori
eksternal di telpon genggam seperti di gunakan dalam kamera digital. Kartu memori tersebut dapat di
masukan kedalam kartu pembaca kartu memori yang bisa mengirim tangkapan data digital dari alat
elektronik terhadap komputer. Seperti hal nya alat yang lazim di gunakan, alat tersebut acapkali
menemukan banyak kejahatan sebagai bukti digital mempunyai data digital dalam bentuk poto digital,
pesan, buku telpon, atau bahkan dokumen yang lebih besar seperti data dari microsoft office.

24

Mendapatkan kembali data seperti dari kartu memori di jadikan arti utama dalam penyediaan jejak
untuk menanggulangi kejahatan.

2. METODE DAN BAHAN

Pertama Dalam bahasan ini analisis melibatkan kartu memori sebagai kartu memori multimedia
(MMC), lobang kartu (SD) ), Compact flash Card (CF cards), Sony pro duo stick, mini SD cards. Kartu
tersebut disusun secara lengkap dengan menempatkannya dalam 16, dalam satu pembaca kartu memori
dan menggunakan fungsi penghapus yang kuat untuk memindahkan data yang telah ada dalam memori
tersebut. Salah satu kartu ada yang mampu mengurangi ukuran kartu memori reduced MMC) of 512Mb
(Kingston) ditempatkan dalam telpon genggam NOKIA (N70). Data data dari telpon genggam kemudian
disalin ke kartu memori dan kata sandinya di pakai dalam kartu memori. Kemudian kartu memorinya
dikeluarkan.

Gambar 1 : Compact flash, MMC card and 16 in 1 Memory card reader

Kedua kartu memori yang sama modelnya model (512Mb Kingston) di masukan kedalam telepon
genggam yang sama (NOKIA N70) dan data yang sama di kirim ke dalam telepon tersebut. Dalam kasus
ini password tidak tampil dalam telepon tersebut. Kemudian kedua kartu tersebut di masukan kedalam
laptop bersamaan (Compact Presario 2200) dengan software forensic yang berstandar (EnCase and
AccessData Forensic Toolkit) digunakan dalam bayangan kartu memori (gambar 1). Langkah langkah
yang sama dilakukan dengan kartu yang berbeda dengan menggunakan alat alat digital yang sesuai
yang mendukung langkah langkah tersebut. Salah satu salinan harus dilindungi oleh kata sandi ketika
data yang tak terlindungi di simpan kemudian alat alat digital yang di gunakan untuk melindungi kata
sandi dan kartu media disimpan untuk dianalisis yang lebih jauh dan untuk mendapatkan kembali data
yang bisa terkait untuk menganalisis kartu memori tersebut. Alat tersebut di beri nama yang sesuai untuk
memori masing data dan diberi tombol off.

3. HASIL DAN PEMBAHASAAN

Analisis kartu memori yang terlindungi dan yang tak terlindungi menghasilkan pengamatan yang
sangat menarik. Sebuah kartu memori yang tidak terlindungi oleh kata sandi akan dengan mudah di
hapus dan di tunjukan isi kartunya. Image tersebut bisa di lakukan dalam cara yang sama seperti standar
hard disk nya dengan tidak melibatkan kesulitan yang utama dengn kata lain kartu memori yang
terlindungi kata sandi ketika dimasukan kedalam pembaca kartu memori tidak bisa dihapus secara
otomatis. Ini seharusnya menjadi fakta bahwa mekanisme pelindungan kata sandi juga mengunci
otomatis files exe (files yang digunakan untuk menginstal sebuah aplikasi). Mekanisme proteksi juga
akan menyebabkan kartu memori tida bisa ditampilkan. Jadi, ketika mencoba untuk memasukan, hal itu
tidak akan terbuka dengan mudah. Ini adalah masalah utama seperti kartu memori yang tak bisa
dimasukkan atau tidak bisa ditampilkan dan alat forensik tidak dapat menghasilkan bayangan dari kartu
memori. Ini adalah catatan yang juga mekanisme perlindungan penting yang mengijinkan akses terhadap
kartu yang menunjukan kartu, ini memungkinkan untuk tidak mengunci kartu bentuk tenaga yang kasar
atau serangan masalah kebahasaan. Secara harfiah maksudnya bahwa ini tidak mungkin untuk tidak
mengunci kartu memori yang terlindungi kata sandi dengan menyambungkannya ke komputer. Proses
dari bayangn kartu memori yang terlindungi kata sandi pertama kali mensyaratkan pemindahan kunci
perlindungan. Pemecahan masalah dalam memindahkan kunci tersebut denga menyimpan alat digital
yang digunakan untuk melindungi kartu memori. Alat ini mungkin ada dalam semua kasus atau tidak
mungkin untuk di ketahui oleh penguji, jadi ada beberapa pemecahan yang di sarankan.

25

3.1

Langkah Langkah Untuk Memindahkan Kedalam Kartu Memori

1. Buatlah bayangn dari seluruh berkas sistem dari memori telepon atau dalam kasus dimana
alat tidak didukung oleh kabel data kemudian buatlah penggunaan dari pendaftaran telepon
yang menggunakan sebuah software Symbian (Fexplorer) dan instal dalam memori telepon.
Software pendaftaran telepon akan memberikan akses yang penuh untuk seluruh sistem
pendaftaran di telpon.
2. Lokasikan berkas yang di sebut MMCSTORE, berkas ini berisi daftar kata kunci yang sudah
digunakan untuk kartu memori.
3. Salin berkas atau kirim melalui bluetooth untuk berkas yang lain.
4. Rubah nama dari berkas ke MMCSTORE.
5. Buka berkas dan kata sandi akan di tampilkan. Nomor yang cocok telah digunakan untuk
mengunci kartu memori.
6. Masukan kartu memori kedalam telepon. Jika kata kunci di MMCSTORE sesuai terhadap kata
kunci di dalam kartu memori, hal ini tidak akan meminta kata kunci lagi.
7. Sekarang kemudikan kartu memori dan pindahkan kata kunci dengan memasukan pemulihan
kata kunci dari berkas MMCSTORE.
8. Keluarkan kartu memori dan tempatkan dalam ard reader dan image akan di buat.

Dalam solusi tertentu kunci untuk mengunci kartu memori tidak mungkin ada di MMCSTORE dan
tidak memungkinkan kunci yang benar dan itulah yang seharusnya dilakukan adalah :
a. Jika telepon sudah di susun ulang hal itu juga akan menghapus kunci yang ada di berkas
MMCSTORE.
b. Jika kunci tidak sesuai dengan kata kunci dari kartu memori hal ini mungkin membutuhkan alat
digital yang lain yang telah digunakan untuk mengunci kartu memori.
c. Alasan yang lain adalah jika lebih tiga kali mengetik password yang salah kemudian kata kunci
kartu memori secara otomatis akan dirubah dan terkunci. Ini berarti bahwa hanya sedikit
kesempatan untuk mendapatkan kembali data dari MMCSTORE.
Dalam beberapa kasus dimana tidak mungkin menemukan kunci untuk membuka kata kunci, ini
juga disarankan penguji untuk melakukan membuang HEX dari kartu memori (GAMBAR 2). Ini adalah
pekerjaan yang sangat membosanan dan akan membutuhkan waktu yang lama untuk mendeskrikpsikan
data yang ada dari HEX DUMP. Tapi ini adalah jalan terbaik pada saat ini untuk menyimpan salinan data
digital yang ada dalam kartu yang lebih merusak dan itu seharusnya digunakan dalam skenario yang
kritis adalah jenis format yang dibalikkan. Konsepnya adalah memindahkan kunci dengan
menghapusnya. Hal ini juga menekankan menghapus beberapa sektor data yang yang ada di dalam
kartu itu tapi data bisa diambil ulang dengan menggunakan alat software pemulihan data forensik. Jenis
pemulihan yang harus dilakukan adalah pemulihan format RAW. Pemulihan RAW akan memberikan kita
informasi yang banyak dari kartu memori. Masalah pemulihan RAW adalah data yang bisa satu kali lagi
menjadi format sandi dan ini akan mensyaratkan usaha yang maksimal untuk mendeskripsikannya.
Metode ini juga merusak dan tidak menjamin 100 % pemulihan dari data dan metode ini harus dilakukan
dalam kasus yang ekstrim.

26

Gambar 2 : HEX dump format

4. RANGKUMAN
Ketika melakukan sebuah bayangan dari kartu memori, penguji harus menegaskan apakah kartu
memori terlindungi atau tidak. Sebuah kartu memori yang tidak terbaca oleh komputer tidak menyatakan
bahwa kartu itu rusak secara fisik. Ini bisa menjadi sebuah tanda bahwa kata kunci yang terlindungi.
Kartu memori harus ditempatkan didalam telepon yang mendukung kartu tersebut. Dan jika kata kunci
diminta maka akan mengkonfirmasi bahan kartu memori terkunci. Jika kartu memori di tempatkan di
telepon, itu juga dikirim untuk pengujian dan tidak kata kunci yang diminta dan isi dari kartu memori akan
dapat terbaca dari telepon. Ini menegaskan kata kunci harus dibuka kemudian kartu memori di simpan di
berkas MMCSTORE, kemudian HEX DUMP yang pertama di sarankan dan dalam kasus yang ekstrim
diajukan untuk memformat ulang bisa dilakukan. Walaupun alat forensik telepon sudah tersedia dan alat
tersebut mempunyai potensial dalam membaca isi kartu memori dalam telepon genggam tapi belum ada
alat yang mengijinkan kita untuk bekerja secara angsung terhadap kartu memori dengan kata kunci yang
terlindungi kata sandi hanya satu solusi pada saat ini dalam bayangan forensik dari kartu media yang
terlindungi kata kuncinya adalah metode yang diajukan sebelumnya dalam bahasan diatas.
5. UCAPAN TERIMA KASIH
Penulis sangat berterima kasih kepada pimpinan laboraturium ilmu pengetahuan Forensik, GNC
Delhi, sektor 14 Rohini Delhi, untuk ketekunan dan dorongan yang kuat.

27

REFERENSI
[5] Types of memory cards- http://www.camerahacker.com/ CompactFlash/Types_of_Memory_Cards.shtml
[6] Gerry Masters and Philip Turner; Forensic data recovery and examination of magnetic swipe card cloning devices, In:Digital Investigation, Volume
4, Supplement 1, September 2007, Pages 16-22

[7] Philip Turner, Unification of digital evidence from disparate sources (Digital Evidence Bags); In: Digital Investigation, Volume 2, Issue 3,
September 2005, Pages 223-228
[8] Barrie Mellars; Forensic examination of mobile phones; In: Digital Investigation, Volume 1, Issue 4, December 2004, Pages 266-272

[15] Casey Eoghan. Chapter 13: Forensic examination of handheld devices, Digital Evidence and Computer Crime. 2nd ed. Academic Press;
March 2004.
[16] Wiechmann Fred J.; Processing flash memory media; New Technologies Inc.; November 2002. http://www.forensics-intl. com/
art16.htmlO.
[17] SD Card Association - http://www.sdcard.org/about/memory_card/
[18] Memory card data recovery utility- http://www.recoverdata.in/ recovery-data/memory-card-data-recovery-utilities.html
[19] Encase forensic- http://www.guidancesoftware.com/products/ef_ works.asp
[20] Thakur, Roshan; Chourasia, Khyati; and Thakur, Bhupendra; Data Base Forensics of Mobile Phone, In: The International Journal of
Forensic Computer Science IJoFCS, Volume 7, Number 1, pages: 42-50, ISSN: 1809-9807, DOI: 10.5769/J201201004.
[21] Simo, Andr; Scoli, Fbio; Melo, Laerte; Deus, Flvio; and Sousa Jnior, Rafael; Acquisition and Analysis of Digital Evidence in
Android Smartphones; In: The International Journal of Forensic Computer Science IJoFCS, Volume 6, Number 1, pages: 28-43, ISSN:
1809-9807, DOI: 10.5769/J201101002.
[22] Lallie, Harjinder; and Benford, David; Challenging the Reliability of iPhone - Geo-tags; In: The International Journal of Forensic
Computer Science IJoFCS, Volume 6, Number 1, pages: 59-67, ISSN: 1809-9807, DOI: 10.5769/J201101004.
[23] Kathirvel, Ayyaswamy, and R. Srinivasan; Double Umpiring System for Ad Hoc Wireless Mobile Network Security; In: The International Journal
of Forensic Computer Science IJoFCS, Volume 5, Number 1, pages: 22-29, ISSN: 1809-9807, DOI: 10.5769/J201001003.

[24] Rosa, Antonio; Barboni, Daniel; and Quintiliano, Paulo; Mobile Positioning Methods used in Location-Based Services in GSM, WCDMA
and WLAN Networks; In: The International Journal of Forensic Computer Science IJoFCS, Volume 5, Number 1, pages: 51-59; ISSN:
1809-9807, DOI: 10.5769/J200801005.

TIPS & TRIK :

CARA MENGHAPUS DATA YG TERPROTEKSI PADA MEMORI
Tips memory card terproteksi tidak bisa diformat . Sebenarnya tidak perlu di format juga bisa dilakukan.
Berikut ini adalah bagaimana cara memperbaiki memory card yang terproteksi tanpa melakukan cara
format memory card yang terproteksi tersebut.
Ponselnya harus memiliki aplikasi Explorer untuk melakukan pelacakan file dan folder dalam ponsel,
aplikasi ini banyak sekali dan sudah sangat umum seperti misalnya Seleq, FExplorer, fileman dan masih
banyak lainnya. Install ke dalam memory ponsel,
1. Kemudian dengan aplikasi tersebut cari file yang bernama MMCSTORE, file ini biasanya terletak di
folder Csystem
2. Jika sulit, gunakan menu find atau search, kemudian ketikkan nama file yaitu MMCSTORE dan
ponsel akan mencari file tersebut
3. Selanjutnya kirim file MMCSTORE tersebut ke komputer melalui infrared, bluetooth ataupun kabel
data
4. Melalui komputer atau PC, buka file MMCSTORE tersebut dengan menggunakan notepad
5. Setelah terbuka, maka pada notepad akan terlihat dengan jelas, password dari MMC tersebut
6. Dengan password tersebut lakukan penghapusan password remove password untuk
menghilangkan kunci (lock password) pada MMC

28