Post on 22-Oct-2015
description
UTS
COMPUTER FORENSICKELAS BK091
FORENSIC PADA FLASHDISK
Oleh :
Adis Satwian 090010258
STMIK/STIKOM BALI
2012/2013
Pada laporan ini, penulis akan mencoba melakukan forensic pada Flashdisk USB dimana
USB tersebut terdapat transaksi file yang tidak diketahui sebelumnya, dan file tersebut sudah
dihapus oleh si pelaku/tersangka. Maka dari itu, penulis akan mencoba melakukan forensic untuk
mengetahui file yang ditransfer, serta bukti bahwa USB yang bersangkutan pernah plugged in.
Untuk mengetahui history dari suatu USB yang pernah melakukan transaksi, penulis
menggunakan tool USBDeview.
Gambar 1. Proses melihat history dari USB menggunakan tool USBDeview.
Pada tampilan gambar 1 di atas, USBDeview menampilkan semua history USB Device
yang pernah melakukan transaksi pada komputer yang bersangkutan. Dari history tersebut,
terbukti bahwa USB Device yang terakhir kali plugged in adalah Kingston Data Traveller 2.0
USB Device pada tanggal (Last Plug/Unplug) 17 November 2012 jam 01:56. Sedangkan proses
instalasi driver USB tersebut dilakukan (Created Date) pada tanggal 15 November 2012 jam
21:25.
Artinya, USB tersebut plugged in pertama kali pada tanggal 15 November 2012 malam,
dan kembali melakukan transaksi pada tanggal 17 November 2012.
Untuk melihat detail dari USB yang bersangkutan, bisa dilihat dari Properties USB
tersebut pada USBDeview, seperti pada gambar di bawah :
Gambar 2. Proses melihat detail dari USB
Pada tahap selanjutnya, penulis akan mencoba mencari isi file dari USB yang sudah
terhapus tersebut dan mencari tahu, file apa saja yang sudah ditransfer dari komputer
bersangkutan.
Gambar 3. Properties pada USB Kingstone
Gambar di atas, menunjukkan bahwa USB Traveler Kingstone tersebut benar-benar
kosong tanpa adanya file satupun. Berikutnya, untuk mencari file yang sudah terhapus, penulis
akan gunakan tool EnCase Forensic.
Gambar 4. Proses mencari file yang terhapus menggunakan tool EnCase Forensic.
Dengan menggunakan EnCase, berikut akan tampak file yang sudah terhapus tersebut.
Gambar 5 & 6. Tampilan file .jpg yang telah terhapus.
Dari gambar di atas, diketahui bahwa file tersebut adalah file image .jpg dengan rincian
sebagai berikut :
File berupa image .jpg dengan ukuran 1.557KB (1.5MB) sesuai logical sizenya.
File ditransfer ke USB pada tanggal 17 November 2012 jam 02:03.
Kemudian, file yang sudah terhapus, akan penulis kembalikan terlebih dahulu dengan cara
copy/unrase file tersebut.
Gambar 7. Proses Mengembalikan file yang telah terhapus ke hardisk
Pada gambar dibawah berikut, klik Next.
Gambar 8. Proses Mengembalikan file yang telah terhapus ke hardisk
Dan file tersebut, akan penulis save dilokasi D:\Document\Owner\My Document\My Pictures
Gambar 9. Proses Mengembalikan file yang telah terhapus ke hardisk dan disimpan di D:\
Document\Owner\My Document\Downloads\Picture\
Gambar 10. File .jpg telah berhasil dikembalikan dan disimpan pada :\Document\Owner\My
Document\Downloads\Picture\
Berikutnya, penulis akan menggunakan tool HxD untuk melihat keaslian file tersebut.
Gambar 11. Proses melihat keaslian file .jpg menggunakan tool HxD
Open file .jpg yang sudah disimpan sebelumnya (hasil export dari EnCase).
Gambar 12. Proses mengambil atau open file hasil export dari EnCase
Gambar 13. Proses melihat isi file .jpg
Dari gambar di atas,
1. Terlihat bahwa file image tersebut diambil dari camera MT-15i (Sony Ericson Xperia-
Neo) dengan menggunakan aplikasi Camera360 pada tanggal 16 Oktober 2012, Pukul
12:39.
KESIMPULAN
Berdasarkan hasil penulusuran forensic di atas, pemulis menyimpulkan sebagai berikut :
Ada sebuah USB (Kingstone Data Traveler) yang melakukan transfer data terakhir
kali pada tanggal 17 November 2012 jam 02:03 malam.
File image yang terhapus tersebut dicreate pertama kali pada tanggal 16 Oktober
2012 pukul 12:39.