Berikut adalah kerangka berfikir yang digunakan dalam penelitian ini:
UIN Syarif Hidayatullah Jakarta
Gambar 3.1 Kerangka Berfikir Start
Studi Pustaka
Mengidentifikasi Masalah
Merumuskan Masalah
Analisa Kebutuhan
Mencari Referensi/Studi Sejenis
Metode Simulasi
Finish Problem Formulation
Conceptual Model
Input/Output Data
Modelling
Simulation
Experimentation
Output Analysis Verification & Validation
40 UIN Syarif Hidayatullah Jakarta
Kehilangan sebuah data dapat menjadi masalah yang serius apabila data yang hilang merupakan data yang penting. Kehilangan data dapat terjadi karena berbagai penyebab, di antaranya ialah virus, human error, kerusakan hardware ataupun kesalahan pada sistem. Kehilangan data tersebut dapat terjadi pada berbagai file, seperti file dokumen, foto, email dan lain sebagainya. Berdasarkan survei oleh statista pada tahun 2015 data digital yang paling banyak hilang ialah data berupa video dan foto.
Gambar 4.1 Jenis data yang hilang (sumber : statista.com)
UIN Syarif Hidayatullah Jakarta
Kehilangan data dapat diatasi dengan menggunakan salah satu metode dalam komputer forensik yaitu file carving. Metode file carving tersebut dapat mengembalikan data-data yang hilang. Meski demikian, menurut Thomas Laurenson (2013: 420) muncul masalah baru dengan ada banyaknya alat carving yang tersedia, seperti tidak diketahuinya kemampuan dan batasan pada alat carving sehingga tidak efektif untuk mengembalikan data.
Berdasarkan pemaparan di atas, pada penelitian ini penulis akan melakukan analisis file carving menggunakan PhotoRec dan Foremost.
Penelitian tersebut bertujuan untuk mengetahui kinerja proses carving.
Kriteria yang akan digunakan dalam analisis file carving berupa kecepatan proses carving, jumlah file yang kembali dan validasi atau kebenaran file yang kembali.
4.2 Conceptual Model
Tahap membuat konsep model merupakan tahap dilakukannya penggambaran mulai dari input, proses, sampai output yang dihasilkan.
Gambaran arsitektur proses carving dilakukan dengan menggunakan PhotoRec dan Foremost diberikan pula pada tahap ini.
UIN Syarif Hidayatullah Jakarta
Gambar 4.2 Arsitektur carving menggunakan PhotoRec dari Disk Drive
Gambar 4.3 Arsitektur carving menggunakan Foremost dari Disk Image Gambar di atas menggambarkan arsitektur yang akan dianalisis pada penelitian kali ini. Terdapat dua arsitektur berbeda yaitu arsitektur saat
UIN Syarif Hidayatullah Jakarta
menggunakan PhotoRec dan saat menggunakan Foremost. Komponen pada tiap-tiap arsitektur ialah sebagai berikut :
1. Storage Device
Storage Device atau media penyimpanan digunakan sebagai inputan. Penulis menggunakan media penyimpanan berupa sebuah flashdisk merek Toshiba berkapasitas 16GB pada penelitian ini.
Flashdisk tersebut berisi berbagai macam file-file gambar dan multimedia, seperti video dan audio. Penelitian ini mengondisikan flashdisk tersebut dalam keadaan terformat dan file yang terdapat didalamnya belum tertimpa atau overwrite oleh file lainnya sehingga dapat dilakukan pengembalian data menggunakan teknik carving.
2. Imaging
Imaging digunakan untuk membuat klon terhadap media penyimpanan dalam bentuk image. Pembuatan image akan dilakukan menggunakan dc3dd. Pembentukan imaging ini akan menghasilkan file berakhiran .img, .dd, ataupun .raw. Penulis menggunakan imaging pada proses carving menggunakan PhotoRec dan Foremost.
3. Carving Tools
Carving Tools atau alat carving merupakan alat yang digunakan untuk mengembalikan data. Penelitian ini menggunakan 2 alat carving yaitu PhotoRec dan Foremost. Setiap alat carving memiliki konfigurasi yang berbeda-beda. Hasil carving menggunakan 1 alat yang sama juga dapat menghasilkan hasil yang berbeda karena perbedaan konfigurasi yang digunakan. Oleh karena itu, penelitian kali ini akan menganalisa kinerja proses carving dengan menggunakan beberapa parameter yaitu kecepatan proses carving, jumlah file yang dikembalikan dan kebenaran file yang kembali.
UIN Syarif Hidayatullah Jakarta
4. Output/Hasil Carving
Setelah proses carving selesai didapatkan sebuah folder berisi file-file dari hasil carving yang dilakukan. Folder tersebut pada awalnya tidak dapat diakses dan untuk dapat mengakses folder tersebut perlu dilakukan pengubahan perintah agar folder tersebut dapat dibaca, ditulis dan dieksekusi.
5. Validasi
Setelah mendapatkan hasil carving maka validasi dilakukan untuk mengecek apakah file yang kembali adalah benar file yang sebelumnya. Pengecekan dilakukan dengan cara membandingkan file yang asli dengan file yang kembali. Penulis menggunakan script shell sederhana fungsi hash algoritma SHA1 untuk membandingkan nilai hash file yang asli dengan file yang kembali. Berdasarkan hasil validasi yang diperoleh dapat ditentukan apakah file tersebut benar atau tidak dengan membandingkan nilai hash antara file yang sebelumnya dengan file hasil carving.
PhotoRec mengembalikan data dengan cara melakukan proses scaning sebanyak 3 kali. Scaning pertama PhotoRec mencari 10 header pertama pada tiap-tiap sector dari sebuah disk. Ketika belum menemukan 10 header pertama maka PhotoRec akan terus mencari hingga sector terakhir. Saat telah menemukan 10 header pertama maka PhotoRec langsung melakukan scaning ke 2 untuk melakukan pengembalian data sekaligus melakukan pencarian header dan footer yang lain. Setelah proses scaning ke 2 telah selesai, PhotoRec melakukan scaning ke 3 untuk mencari apakah masi ada header lain yang ditemukan. Proses pengembalian data PhotoRec digambarkan seperti pada gambar 4.4.
UIN Syarif Hidayatullah Jakarta
Gambar 04.4 Flowchart PhotoRec
UIN Syarif Hidayatullah Jakarta
Foremost mengembalikan data dengan cara memotong disk menjadi potongan-potongan kecil. Secara default potongan tersebut berukuran 10 MB. Pada tiap-tiap potongan tersebut Foremost mencari header file, ketika header ditemukan dan Foremost telah mendapatkan informasi dari header tersebut maka selanjutnya Foremost melakukan pencarian footer. Jika tidak ditemukan footer yang cocok dengan header file maka Foremost akan mengembalikan file sesuai dengan informasi yang ada di header, jika ditemukan footer yang cocok maka Foremost akan mengembalikan file sesuai dengan informasi dari header hingga footer. Proses pengembalian data yang dilakukan Foremost seperti gambar 4.5.
UIN Syarif Hidayatullah Jakarta Start
Load disk drive/ disk
image
Membagi disk menjadi potongan kecil
Cari header di tiap potongan
Cari footer di tiap potongan Ditemukan?
ya
tidak
Ditemukan?
Carve file dari header ke
footer ya
Carve file sesuai ukuran yang ada
di header tidak
Selesai
Gambar 04.5 Flowchart Foremost
UIN Syarif Hidayatullah Jakarta
Berdasarkan proses pengembalian data yang dilakukan PhotoRec dan Foremost. Dapat dilihat kemungkinan proses pengembalian data yang dilakukan PhotoRec lebih cepat karena untuk mencari header melakukan scaning sector per sector sedangkan Foremost melakukan potongan per potongan. Namun jika PhotoRec melakukan scaning sebanyak 3 kali secara logika akan lebih lama dari Foremost. Proses scaning yang dilakukan oleh PhotoRec lebih banyak sehingga memungkinkan file yang dikembalikan lebih tepat dari pada file yang dikembalikan Foremost.