ANALISA PROSES FILE CARVING MENGGUNAKAN PHOTOREC DAN FOREMOST

(1)

SKRIPSI

Oleh : NURUL FIKRI

1112091000068

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF

HIDAYATULLAH JAKARTA

2016

(2)

ANALISA PROSES FILE CARVING MENGGUNAKAN PHOTOREC DAN FOREMOST

SKRIPSI

Sebagai Salah Satu Syarat untuk

Memperoleh Gelar Sarjana Komputer (S.Kom)

Oleh : NURUL FIKRI

1112091000068

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI UNIVERSITAS ISLAM NEGERI SYARIF

HIDAYATULLAH JAKARTA

2016

(3)

(4)

(5)

PERNYATAAN ORISINALITAS Dengan ini saya menyatakan bahwa :

1. Skripsi ini merupakan hasil karya asli saya yang diajukan untuk memenuhi salah satu persyaratan memperoleh gelar Strata 1 di UIN Syarif Hidayatullah Jakarta

2. Semua sumber yang saya gunakan dalam penulisan ini telah saya cantumkan sesuai dengan ketentuan yang berlaku di UIN Syarif Hidayatullah Jakarta

3. Apabila di kemudian hari terbukti karya ini bukan hasil karya asli saya atau merupakan hasil jiplakan karya orang lain, maka saya bersedia menerima sanksi yang berlaku di UIN Syarfi Hidayatullah Jakarta

Jakarta, 14 Oktober 2016

Nurul Fikri

(6)

PERNYATAAN PERSETUJUAN PUBLIKASI SKRIPSI

Sebagai civitas akademik UIN Syarif Hidayatullah Jakarta, saya yang bertanda tangan di bawah ini :

Nama : Nurul Fikri NIM : 1112091000068 Program Studi : Teknik Informatika Fakultas : Sains dan Teknologi Jenis Karya : Skripsi

demi pengembangan ilmu pengetahuan, menyetujui untuk memberikan kepada Universitas Islam Negeri Syarif Hidayatullah Jakarta Hak Bebas Royalti Noneksklusif (Non-exclusive Royalty Free Right) atas karya ilmiah saya yang berjudul :

ANALISA PROSES FILE CARVING MENGGUNAKAN PHOTOREC DAN FOREMOST

beserta perangkat yang ada (jika diperlukan). Dengan Hak Bebas Royalti Noneksklusif ini Universitas Islam Negeri Syarif Hidayatullah Jakarta berhak menyimpan, mengalih media/formatkan, mengelola dalam bentuk pangkalan data (database), merawat, dan mempublikasikan tugas akhir saya selama tetap mencantumkan nama saya sebagai penulis/pencipta dan sebagai pemilik Hak Cipta.

Demikian pernyataan ini saya buat dengan sebenarnya.

Jakarta, 14 Oktober 2016 Nurul Fikri

(……….)

(7)

Nurul Fikri -1112091000068, Analisa Proses File carving Menggunakan PhotoRec dan Foremost. Skripsi. Jakarta: Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah, 2016.

ABSTRAK

Perkembangan komputer yang semakin pesat diikuti dengan perkembangan media penyimpanan secara digital. Salah satu permasalahan dari media peyimpanan digital ialah kehilangan data. Kehilangan data dari media penyimpanan digital dapat diatasi salah satunya dengan teknik file carving. Teknik file carving untuk mengembalikan file yang hilang dilakukan di antaranya dengan menggunakan beberapa alat carving, seperti PhotoRec dan Foremost. Penelitian ini dilakukan untuk mengetahui dan membandingkan performa proses carving dari PhotoRec dan Foremost dengan mengacu kepada tiga parameter, yaitu jumlah file yang kembali, validasi file dan kecepatan proses. Metode simulasi digunakan dalam penelitian ini, sementara pemeriksaan validasi file dilakukan dengan menggunakan algoritma hash SHA1 untuk memastikan kesamaan file yang kembali dengan file asli. Hasil dari penelitian ini menunjukkan bahwa PhotoRec lebih unggul dari Foremost.

Photorec menghasilkan lebih sedikit jumlah file yang kembali dibandingkan jumlah file yang kembali oleh Foremost. Meski demikian, validasi file hasil PhotoRec jauh lebih besar persentasenya daripada Foremost. Selain itu, kecepatan proses Foremost lebih lama dibandingkan proses yang dilakukan oleh PhotoRec. Berdasarkan pemaparan tersebut dapat disimpulkan bahwa performa PhotoRec lebih baik dibandingkan dengan performa Foremost.

Kata Kunci : File carving, PhotoRec, Foremost, SHA1, Algoritma Hash Jumlah Pustaka : 28 (Tahun 2004-2015)

Jumlah Halaman : VI BAB + xiv Halaman + 142 Halaman + 68 Gambar + 48 Tabel + 28 Daftar Pustaka

(8)

KATA PENGANTAR

Puji dan syukur penulis panjatkan ke hadirat Allah SWT atas segala rahmat dan karunia-Nya sehingga penulis dapat menyelesaikan penelitian hingga akhir penulisan skripsi. Penulis mengucapkan terima kasih kepada:

1. Bapak Dr. Agus Salim, M.Si., selaku Dekan Fakultas Sains dan Teknologi;

2. Ibu Arini, ST. MT., selaku ketua Program Studi Teknik Informatika, serta Bapak Feri Fahrianto, M.Sc. selaku sekretaris Program Studi Teknik Informatika;

3. Nurhayati Ph.D., selaku Dosen Pembimbing I dan Siti Ummi Masruroh M.Sc., selaku Dosen Pembimbing II, penulis ucapkan terima kasih tak terhingga atas kesediaan waktu dan pikiran untuk membimbing, memberikan saran dan selalu memberikan dorongan semangat kepada penulis dari awal hingga akhir penelitian dan penulisan skripsi;

4. M.Tabah Rosyadi, Drs. MA Ti., selaku penasihat akademis, terima kasih atas bimbingan dan arahan selama masa perkuliahan;

5. Seluruh Dosen, Staf Karyawan Fakultas Sains dan Teknologi, khususnya Program Studi Teknik Informatika, terima kasih atas ilmu, pengalaman, dan bantuan yang telah diberikan kepada penulis selama masa perkuliahan;

6. Orang tua penulis, yaitu ayah H. Jurjani M.Zen dan mama Hj. Nuriah, serta kedua kakak dan kedua adik penulis, Liya Komariah, Nurwenda Amini, Najatun Wildah, dan Muhammad Yasir Al Khatami, penulis ucapkan terima kasih yang tak terbatas atas kasih sayang, doa, pengertian, bimbingan, semangat, dan dorongan yang diberikan baik moril maupun materiil selama ini, sehingga penulis dapat menyelesaikan skripsi. Serta untuk Naylah Muna, sahabat yang merangkap segalanya, terima kasih untuk semua waktu, perhatian, dan bantuan yang diberikan;

7. Sahabat penulis, khususnya sahabat Core iC : Ahmad Akmaludin, Mohamad Rizal, Rahmat Fajar Al Farizky, Muhammad Irsal Yudanto, Aulia Rahman Andaf, Perdana Priatna, Muhammad Fachri Fadly, Rangga Arif Rahman, Alvin Fauzi Murod, Fachrudin Arrahji, Wisnu Ari Mukti,

(9)

terimakasih atas kesediaannya menciptakan momen-momen berharga bersama, saling menemani, menyemangati, dan saling mengingatkan baik dalam urusan akademik maupun non akademik; Teman-teman seangkatan dan seperjuangan TI UIN 2012, terima kasih atas semua kenangan yang telah diciptakan bersama selama perkuliahan dan tetap semangat.

8. Seluruh pihak HIMTI UIN Jakarta, baik adik-adik angkatan dan senior- senior angkatan terutama Bang Ruchdi Muttaqin S.Kom, yang telah membantu penulis dalam menyelesaikan skripsi ini, terima kasih atas dorongan semangat dan do’a yang diberikan, serta ilmu-ilmu baik akademik maupun non-akademik yang disalurkan;

Penulis mohon maaf atas segala kekurangan dan salah kata bagi semua pihak.

Skripsi ini masih jauh dari sempurna, namun penulis berharap skripsi ini dapat bermanfaat bagi penulis, pembaca, dan perkembangan ilmu pengetahuan.

Jakarta, Oktober 2016

Penulis

(10)

DAFTAR ISI

LEMBAR PERSETUJUAN ... Error! Bookmark not defined.

LEMBAR PENGESAHAN ... ii

PERNYATAAN ORISINALITAS... iii

PERNYATAAN PERSETUJUAN PUBLIKASI SKRIPSI ... v

ABSTRAK ... vi

KATA PENGANTAR ... vii

DAFTAR ISI... ix

DAFTAR GAMBAR ... xiii

DAFTAR TABEL ... xv

BAB I ... 1

PENDAHULUAN ... 1

1.1 Latar Belakang ... 1

1.2 Rumusan Masalah ... 5

1.3 Batasan Masalah ... 5

1.4 Tujuan ... 6

1.5 Manfaat ... 7

1.5.1 Bagi Masyarakat ... 7

1.5.2 Bagi Univesitas ... 7

1.5.3 Bagi Mahasiswa ... 7

1.6 Metodologi Penelitian ... 7

1.6.1 Metode Pengumpulan Data ... 7

1.6.2 Metode Simulasi ... 8

1.7 Sistematika Penulisan ... 8

BAB II ... 10

LANDASAN TEORI ... 10

2.1 File System ... 10

2.2 Disk Drive ... 11

2.3 Struktur File ... 12

2.3.1 Contiguous File ... 13

2.3.2 Fragmented File ... 13

(11)

2.3.3 Partial File ... 14

2.3.4 Embeded File ... 14

2.4 Fragmentation ... 14

2.5 Magic Number ... 17

2.6 File Carving ... 17

2.7 Carving dan Recovery ... 18

2.8 Teknik File carving ... 19

2.9 Alat Carving yang baik ... 20

2.10 PhotoRec ... 21

2.11 Foremost ... 23

2.12 Fungsi Hash ... 24

2.13 SHA-1 ... 26

2.14 Disk imaging ... 28

2.15 dc3dd ... 29

2.16 Metode Simulasi ... 29

2.16.1 Problem Formulation... 30

2.16.2 Conceptual Model ... 30

2.16.3 Input / Ouput data ... 30

2.16.4 Modelling ... 31

2.16.5 Simulation ... 31

2.16.6 Verification and Validation ... 32

2.16.7 Experimentation ... 32

2.16.8 Ouput Analysis ... 32

2.17 Alasan Menggunakan Simulasi ... 33

BAB III ... 34

METODOLOGI ... 34

3.1 Metode Pengumpulan Data ... 34

3.2 Metode Simulasi ... 36

3.2.1 Problem Formulation... 36

3.2.2 Conceptual Model ... 37

3.2.3 Input/Output Data ... 37

3.2.4 Modelling ... 37

3.2.5 Simulation ... 37

(12)

3.2.6 Verification and Validation ... 37

3.2.7 Experimentation ... 38

3.2.8 Output Analysis ... 38

3.3 Kerangka Berfikir ... 38

BAB IV ... 40

IMPLEMENTASI ... 40

4.1 Problem Formulation ... 40

4.2 Conceptual Model ... 41

4.3 Collection of Input/Output Data ... 48

4.4 Modelling ... 50

4.4.1 Skenario 1 ... 50

4.4.2 Skenario 2 ... 51

4.4.3 Skenario 3 ... 51

4.4.4 Skenario 4 ... 52

4.4.5 Skenario 5 ... 52

4.4.6 Skenario 6 ... 53

4.4.7 Skenario 7 ... 54

4.4.8 Skenario 8 ... 54

4.5 Simulation ... 55

4.5.1 Pembuatan Image Storage Device ... 55

4.5.2 Pembuatan script shell ... 56

4.5.3 Pemasangan PhotoRec ... 58

4.5.4 Pemasangan Foremost ... 59

4.6 Verification and Validation ... 60

4.7 Experimentation ... 60

4.8 Output Analysis ... 60

BAB V ... 61

HASIL DAN PEMBAHASAN ... 61

5.1 Verification & Validation ... 61

5.2 Experimentation ... 61

5.3 Outout Analysis ... 61

5.3.1 Simulasi Skenario 1 PhotoRec ... 61

5.3.2 Simulasi Skenario 1 Foremost ... 65

(13)

5.3.15 Simulasi Skenario 8 PhotoRec ... 115

5.4 Analisis Output File carving PhotoRec dan Foremost ... 128

5.4.1 Analisis Output Skenario 1 ... 128

5.4.9 Analisis Output PhotoRec dan Foremost ... 136

BAB VI ... 138

PENUTUP ... 138

6.1 Kesimpulan ... 138

6.2 Saran ... 138

DAFTAR PUSTAKA ... 139

LAMPIRAN... 142

Lampiran 1. Surat Bimbingan Skripsi ... 142

(14)

DAFTAR GAMBAR

Gambar 1.1 Perkembangan Penggunaan Komputer ... 1

Gambar 1.2 Perkembangan media penyimpanan ... 2

Gambar 1.3 Penyebab data hilang ... 3

Gambar 2.1 Struktur File ... 13

Gambar 2.2 Penyebab terjadi fragmentasi ... 16

Gambar 2.3 Pengujian keutuhan pesan dengan fungsi hash ... 25

Gambar 2.4 Proses disk imaging ... 28

Gambar 3.1 Kerangka Berfikir ... 39

Gambar 4.1 Jenis data yang hilang (sumber : statista.com) ... 40

Gambar 4.2 Arsitektur carving menggunakan PhotoRec dari Disk Drive ... 42

Gambar 4.3 Arsitektur carving menggunakan Foremost dari Disk Image ... 42

Gambar 4.4 Flowchart PhotoRec ... 45

Gambar 4.5 Flowchart Foremost ... 47

Gambar 4.6 Install dc3dd ... 55

Gambar 4.7 Memastikan dc3dd terinstall ... 56

Gambar 4.8 Script SHA1 ... 57

Gambar 4.9 Install PhotoRec ... 58

Gambar 4.10 Memastikan PhotoRec terinstall ... 58

Gambar 4.11 Tampilan PhotoRec ... 59

Gambar 4.12 Install Foremost ... 59

Gambar 4.13 Memastikan Foremost terinstall ... 60

Gambar 5.1 JPG Percobaan 1 PhotoRec 1 ... 62

Gambar 5.4 JPG Percobaan 1 Foremost 1 ... 65

Gambar 5.7 WAV Percobaan 1 PhotoRec 2 ... 69

Gambar 5.10 WAV Percobaan 1 Foremost 2 ... 73

Gambar 5.13 MP4 Percobaan 1 PhotoRec 3 ... 76

Gambar 5.16 MP4 Percobaan 1 Foremost 3 ... 79

Gambar 5.19 All File Percobaan 1 PhotoRec 4 ... 83

(15)

Gambar 5.22 All File Percobaan 1 Foremost 4 ... 90

(16)

DAFTAR TABEL

Tabel 3.1 Perbandingan Studi Literatur... 34

Tabel 4.1 Data yang hilang yang akan dikembalikan... 48

Tabel 4.2 Skenario 1 ... 50

Tabel 5.1 Output Skenario 1 PhotoRec ... 64

Tabel 5.2 Nilai Hash JPG Skenario 1 ... 64

Tabel 5.3 Output Skenario 1 Foremost... 67

Tabel 5.4 Nilai Hash JPG Foremost 1 ... 68

Tabel 5.6 Nilai Hash WAV PhotoRec 2 ... 72

Tabel 5.7 Hasil Akhir Skenario 2 Foremost ... 75

Tabel 5.9 Nilai Hash MP4 PhotoRec 3 ... 78

Tabel 5.10 Output Foremost Skenario 3 ... 81

Tabel 5.11 Nilai Hash MP4 Foremost 3 ... 82

Tabel 5.13 Nilai Hash All File PhotoRec 4 ... 87

Tabel 5.15 Nilai Hash All File Foremost 4 ... 94

Tabel 5.16 Output PhotoRec Skenario 5 ... 98

Tabel 5.17 Nilai Hash JPG PhotoRec 5 ... 98

Tabel 5.19 Nilai Hash JPG Foremost 5 ... 102

Tabel 5.21 Nilai Hash WAV PhotoRec 6 ... 106

Tabel 5.24 Nilai Hash MP4 PhotoRec 7 ... 112

Tabel 5.26 Nilai Hash MP4 Foremost 7 ... 115

(17)

Tabel 5.28 Nilai Hash All File PhotoRec 8 ... 120

Tabel 5.30 Nilai Hash All File Foremost 8 ... 127

Tabel 5.31 Hasil Perbandingan Skenario 1 ... 128

(18)

1 UIN Syarif Hidayatullah Jakarta

Komputer merupakan salah satu teknologi yang berkembang pesat.

Teknologi komputer tersebut dimanfaatkan untuk mengoperasikan berbagai bidang, seperti bidang telekomunikasi, pendidikan, dan perindustrian.

Pemanfaatan teknologi komputer terus mengalami peningkatan sehingga penggunaan komputer dari tahun ke tahun diseluruh dunia juga meningkat, seperti tercantum pada gambar 1.1 (eTForecasts, 2016).

Gambar 1.1 Perkembangan Penggunaan Komputer

Perkembangan teknologi dan pemanfaatan komputer diiringi dengan perkembangan media penyimpanan digital. Pada awal perkembangannya, media penyimpanan digital memiliki daya tampung terbatas dan fisik yang relatif besar. Kemudian media penyimpanan digital terus berkembang hingga daya tampungnya semakin besar sementara bentuk fisiknya mengecil. Sekarang ini bahkan dapat ditemukan media penyimpanan digital yang tidak memiliki fisik, seperti cloud storage (Nasuni, 2016).

(19)

UIN Syarif Hidayatullah Jakarta

Gambar 1.2 Perkembangan media penyimpanan

Penggunaaan media penyimpanan digital memiliki beberapa kelebihan, seperti dapat dipindahkan dan dapat dibawa ke mana saja (portable). Meski demikian, penggunaan media penyimpanan digital juga mempunyai kekurangan, salah satunya ialah data mudah hilang atau rusak.

Banyak hal yang dapat menyebabkan kehilangan data, seperti hardware malfunction, virus, dan human error. Berdasarkan data yang diberikan oleh DatLabs pada tahun 2015, beberapa penyebab kehilangan data ialah hardware malfunction sebesar 44%, human error sebesar 32%, software

(20)

corruption sebesar 32%, computer virus sebesar 7%, dan natural disaster sebesar 3%.

Gambar 1.3 Penyebab data hilang

Terdapat sebuah metode dalam computer forensics untuk mengembalikan file yang disebut File carving, yang menjadi solusi ketika kehilangan data. File carving merupakan aspek penting dari computer forensics dan memberikan dampak besar bagi kasus computer forensics karena menambah fleksibilitas untuk mebedah informasi yang tersimpan dari pokok struktur file sistem (Nicholas : 2005 : 1).

Terdapat beberapa alat carving yang bisa digunakan untuk computer forensics. Alat carving yang paling sederhana bekerja dengan cara menemukan header dan footer. Alat carving yang lebih canggih melakukan validasi sebelum file disimpan ke dalam disk, yang disebut validating file carvers. Sementara itu, alat carving yang paling canggih dapat mengumpulkan kembali file terfragmentasi yang disebut fragmented file recovery (Courrejou dan Garfinkel, 2013 : 2).

(21)

Terlepas dari tingkat kecanggihannya, performa yang diberikan masing-masing alat carving berbeda-beda. Hal tersebut disebabkan oleh - perbedaan metode dan konfigurasi yang digunakan. Terdapat tiga parameter yang umum digunakan oleh praktisi forensik dalam menilai performa suatu alat carving, yaitu persentase file yang kembali, kebenaran dan kehandalan hasil yang diberikan oleh alat tersebut, serta kecepatan dalam melakukan proses carving (Laurensen : 2013 : 420).

Beberapa penelitian yang telah dilakukan mengenai file carving diantaranya ialah penelitian yang dilakukan oleh Byeongyeong Yoo dkk (2012). Penelitiannya tersebut berfokus pada pengembalian file multimedia yang dalam keadaan terkompres namun hanya 3 jenis file multimedia yang digunakan yaitu AVI, WAV, dan MP3. Penelitian mengenai carving file dilakukan pula oleh Laurenson (2013), yang melakukan percobaan pengembalian data ketika data tersebut dalam beberapa kondisi, yaitu contiguous file, fragmented file dan embedded file. Penelitian tersebut telah menentukan parameter yang dapat digunakan untuk mengetahui kualitas alat carving yang baik. Selain itu, terdapat pula penelitian yang dilakukan oleh Al Jumah dkk (2014) dengan mengamati hasil carving yang berasal dari disk image dan disk drive. Penelitian tersebut dilakukan untuk mengetahui apakah terdapat perbedaan hasil carving antara disk image dan disk drive.

Penelitian yang dilakukan oleh para peneliti forensik di atas menggunakan beberapa alat carving, seperti Foremost, Scalpel, EnCase, WinHex, FTK, Adroit Photo Forensics, dan Photorec. Pada penelitian ini akan menggunakan alat carving PhotoRec dan Foremost sebagai alat dalam proses file carving. PhotoRec dipilih karena merupakan aplikasi yang dapat dijalankan diberbagai OS atau disebut multiplatform sehingga mudah dijalankan dan untuk menjalankan prosesnya tidak memerlukan konfigurasi. PhotoRec melakukan proses carving dengan cara memeriksa setiap blok yang ada pada media penyimpanan. Sementara itu, Foremost berbasis Linux, hanya bisa digunakan pada Linux dan memerlukan

(22)

konfigurasi dalam melakukan proses carving. Foremost melakukan proses carving dengan cara menemukan header dan footer file. PhotoRec dan Foremost tersebut akan digunakan dalam penelitian untuk mengembalikan file-file image yaitu jpg, png, bmp, dan tif, serta file multimedia berupa audio dan video yaitu wav, mp3, wma, mp4, mkv, avi, dan flv.

Berdasarkan pernyataan di atas akan dilakukan penelitian dengan judul “Analisa Proses File carving Menggunakan Photorec dan Foremost”

yang diharapkan dapat menjadi referensi untuk pengembangan alat carving selanjutnya. Selain itu, penelitian ini juga diharapkan menjadi referensi untuk memilih alat carving yang akan digunakan dan memberi pengetahuan kepada orang-orang tentang teknik pengembalian data.

1.2 Rumusan Masalah

Berdasarkan latar belakang yang telah dijelaskan di atas maka rumusan masalah dalam penelitian ini adalah sebagai berikut :

1. Bagaimanakan hasil durasi kecepatan proses pengembalian file menggunakan Photorec dan Foremost?

2. Bagaimanakan hasil file yang kembali pada proses pengembalian file menggunakan Photorec dan Foremost?

3. Bagaimanakan kebenaran atau validasi file yang kembali pada proses pengembalian file menggunakan Photorec dan Foremost?

1.3 Batasan Masalah

Berdasarkan rumusan masalah di atas, penulis memberikan batasan masalah dalam penelitian ini sebagai berikut :

 Metodologi

- Metode yang digunakan yaitu metode simulasi

- Metode carving yang dilakukan dengan cara header-based carving dan block-based carving

(23)

 Proses

- Media penyimpanan tidak mengalami bad sector

- Penelitian hanya dilakukan untuk mengembalikan file multimedia dan file image berupa foto, audio dan video

- File yang digunakan hanya file yang berekstensi bmp, jpg, png, tif, mkv, avi, mp4, flv, mp3, wav dan wma

- File yang disimpan tidak mengalami overwrite - Tidak membahas pengaruh ukuran file

 Tools

- Menggunakan media penyimpanan berupa flashdisk yang memiliki memori berkapasitas 16 GB dengan format FAT 32

- Penulis menggunakan Photorec dan Foremost untuk proses pengembalian file

- Pada penelitian kali ini menggunakan sistem operasi ubuntu versi 15

- Menggunakan dc3dd untuk membuat image drive

1.4 Tujuan

Tujuan yang ingin dicapai yaitu sebagai berikut :

1. Mengetahui waktu yang dibutuhkan untuk proses carving menggunakan Photorec dan Foremost

2. Mengetahui hasil file yang kembali setelah proses carving yang dilakukan menggunakan Photorec dan Foremost

3. Mengetahui kebenaran (validasi) file yang kembali

(24)

1.5 Manfaat

Manfaat untuk penelitian ini yaitu sebagai berikut : 1.5.1 Bagi Masyarakat

Dapat menjadi sumber untuk mengetahui tentang carving file untuk mengembalikan data yang hilang

1.5.2 Bagi Univesitas

a. Mengetahui kemampuan mahasiswa dalam memahami apa yang didapat selama perkuliahan

b. Menambah kepustakaan UIN jakarta

c. Mengetahui kemampuan mahasiswa dalam menerapkan ilmu yang didapat

1.5.3 Bagi Mahasiswa

a. Menambah wawasan tentang file carving

b. Menambah pengalaman dalam melakukan sebuah penelitian

1.6 Metodologi Penelitian

1.6.1 Metode Pengumpulan Data

Metode yang digunakan penulis dalam melakukan analisis data yaitu:

1. Studi Pustaka

Penulis melakukan pengumpulan data dengan cara mendapatkan informasi dari buku, jurnal, ebook atau literatur terkait topik penelitian. Hal ini ditujukan untuk penulisan pada landasan teori, penulis juga mencari pembelajaran dan mencari perbandingan dengan literatur sejenis.

(25)

1.6.2 Metode Simulasi

Penulis menggunakan metode simulasi dalam melakukan pembahasan. Pada metode simulasi ini terdapat beberapa langkah yang akan dilakukan yaitu :

1. Problem Formulation 2. Conceptual Model 3. Input/Output data 4. Modelling

5. Simulation

6. Verification and Validation 7. Experimentation

8. Output Analysis

1.7 Sistematika Penulisan

Untuk memberikan gambaran agar lebih jelas, skripsi ini dibagi menjadi 6 bab dan tiap bab memiliki beberapa sub bab dengan urutannya sebagai berikut :

BAB I PENDAHULUAN

Bab ini memiliki beberapa subbab yaitu latar belakang, rumusan masalah, batasan masalah, tujuan dan manfaat serta sistematika penulisan.

BAB II LANDASAN TEORI

Bab ini menjelaskan landasan teori yang akan digunakan sebagai dasar acuan dalam penelitian ini, seperti penjelasan tentang file carving, disk imaging, file system dan lain sebagainya. Literatur yang digunakan dapat berupa buku ataupun penelitian sejenis yang mendukung.

(26)

BAB III METODOLOGI PENELITIAN

Bab ini menjelaskan langkah-langkah yang akan digunakan untuk menyelesaikan permasalahan yang ada. Bab ini memiliki unsur yaitu metode pengumpulan data, metode implementasi dan metode pengujian.

BAB IV IMPLEMENTASI

Bab ini akan memaparkan penjelasan tentang simulasi dan implementasi untuk menyelesaikan masalah yang ada berdasarkan landasan teori yang telah dipaparkan sebelumnya.

BAB V HASIL DAN PEMBAHASAN

Bab ini berisi tentang hasil dan pembahasan penelitian yang telah dilakukan.

BAB VI PENUTUP

Bab ini berisi kesimpulan dari hasil penelitian yang telah dilakukan dan juga disertakan saran pengembangan untuk peneliti lain.

(27)

10 UIN Syarif Hidayatullah Jakarta

File system adalah struktur untuk menyimpan dan mengatur file dan data yang berada di dalamnya (Beek, 2011: 3). Merola (2008: 5) menyatakan file system adalah struktur untuk menyimpan dan mengatur file komputer sehingga mudah untuk mengakses dan menemukan data yang terkandung di dalamnya. Literatur lain menyatakan bahwa file system adalah jenis sistem yang digunakan secara efektif untuk menyimpan, mengatur, dan mengakses data pada komputer (EC-Council, 2010: 13).

File system terbentuk dengan alasan yang cukup sederhana, yaitu komputer membutuhkan metode untuk penyimpanan dalam jangka waktu yang lama dan metode untuk mengambil data. Sebuah file system terdiri dari struktur data dan data pengguna yang terorganisir sehingga komputer tahu di mana untuk menemukan mereka (Carrier, 2005: 129).

Beberapa file system yang umum digunakan ialah FAT (File Allocation Table), NTFS (New Technology File system), JFS (Journaling File System), dan UFS (Unix File System). File system FAT dan NTFS banyak digunakan pada windows, sementara UFS dan JFS digunakan di Unix. File system bertanggung jawab untuk mengatur sektor disk ke dalam file dan direktori yang umunya masing-masing berukuran 512 byte. Selain itu, file system juga bertanggung jawab untuk melacak sektor yang telah terisi atau digunakan (allocated) dan yang tidak terisi atau tidak digunakan (unallocated) (Merola, 2008: 5).

Media penyimpanan data seperti hard disk, CD-ROM, flash memory, dan floppy disk menggunakan file system untuk menyimpan data.

Sebuah file system menyediakan beberapa hal yaitu penyimpanan, manajemen, navigasi, akses dan fitur pemulihan data. File system tersebut tersusun atas direktori-direktori yang berbentuk pohon. Di dalam direktori-

(28)

direktori tersebut tersimpan file yang dapat diakses dengan menggunakan graphical user interface (GUI) atau command line interface (CLI) (EC- Council, 2010: 13).

Setiap data yang termuat dalam file system memiliki metadata. File system metadata tersebut berisi informasi berupa deskripsi dan lokasi setiap file pada file system. Beberapa metadata terletak di dalam direktori, tetapi terdapat pula metadata tambahan yang dapat terletak di spesial file (contohnya NTFS $MFT) atau lokasi lain (contohnya UNIX i-nodes) (NIST, 2014: 4).

2.2 Disk Drive

Disk drive adalah sebuah mekanisme untuk membaca data dari disk dan menulis data ke disk. Bagian pada disk drive yang digunakan untuk membaca dan menulis data ialah bagian kepala. Terdapat beberapa jenis disk yang digunakan dalam disk drive, seperti hard disk drive (HDD) untuk mengakses hard disk dan floppy disk drive (FDD) untuk mengakses floppy disk. Terdapat pula optical disk drive (ODD) yang menggunakan cakram optik untuk membaca dan menulis data (EC-Council, 2010: 2).

Disk drive terbagi menjadi dua kategori, yaitu:

1. Fixed: merupakan kategori disk drive yang menggunakan media tetap atau tidak dapat dilepas, contohnya ialah hard disk.

2. Removeable: merupakan kategori disk drive yang menggunakan media tidak tetap atau dapat dilepas. Contoh dari removable disk drive ialah sebagai berikut:

a. Floppy disk: merupakan jenis drive yang menggunakan media disk magnetik portable untuk menyimpan data. Floppy disk terbuat dari bahan plastik fleksibel atau kaku. Kapasitas penyimpanan yang dimiliki floppy disk bervariasi, namun biasanya memiliki kapasitas yang kecil.

(29)

b. CD-ROM: merupakan jenis drive yang menggunakan cakram optik. CD-ROM lebih kuat dari pada floppy disk dan memiliki kapasitas penyimpanan data yang lebih besar. Laser digunakan untuk menulis dan membaca data pada CD-ROM. Meskipun CD- ROM hanya dapat ditulis sekali, namun jenis lain dari format optik ini dapat ditulis beberapa kali.

c. DVD: DVD adalah singkatan dari digital versatile disk dan merupakan jenis cakram optik yang memiliki kapasitas penyimpanan yang lebih besar dari CD-ROM. Sebuah DVD memiliki kapasitas minimal 4,7 GB dan maksimal 17 GB.

d. Zip Disk: Digunakan untuk menyimpan data yang membutuhkan kapasitas penyimpanan yang lebih besar dari pada yang diberikan oleh floppy disk. Zip disk digunakan sebagai disk cadangan dan digunakan pula untuk dokumen yang berukuran besar. Zip disk dapat ditulis beberapa kali sama seperti floppy disk.

2.3 Struktur File

Struktur data dalam sistem berbasis komputer dikendalikan oleh file system yang memungkinkan untuk para pengguna menyimpan data dalam jangka waktu yang lama dan untuk pengambilan data berbentuk file dan direktori. Gambar 2.1 menampilkan beberapa jenis struktur file yang umum dijumpai, yaitu contiguous, fragmented file, partial file, dan embeded file (Laurenson, 2013: 421).

(30)

Gambar 2.1 Struktur File 2.3.1 Contiguous File

Sebuah file dikatakan bersebelahan (contiguous) ketika data dalam file tersebut disimpan di dalam blok yang berurutan dalam urutan sequensial pada media penyimpanan. File contiguous pada Gambar 2.1 ditunjukkan pada file A yang menempati berturut-turut blok 4 sampai 6.

2.3.2 Fragmented File

Sebuah file disebut terfragmentasi ketika satu atau lebih potongan file tidak disimpan dalam urutan sequensial. Potongan- potongan file tersebut terdiri dari dua atau lebih fragmen yang terpisah satu sama lain. Ketika file ditambahkan, dihapus, atau diubah maka struktur file pada file system menjadi terbagi dan tidak tersimpan secara berturut-turut. File fragmen pada umumnya memiliki 2 fragmen yang dikenal sebagai bifragmented.

File yang terfragmentasi terbagi menjadi dua, yaitu linear dan non-linear, bergantung kepada lokasi fragmen yang terpisah pada file system. Gambar 2.1 menampilkan file linear terfragmentasi (file B) yang disimpan pada total lima blok, dipisahkan oleh tiga blok yang ditempati file A. Base fragmen dari file B menempati blok

(31)

1 sampai 3. Selain itu juga menampilkan file terfragmentasi non- linear (file C) yang disimpan pada total enam blok. Base fragment dari file ini menempati blok 14 sampai 16, sedangkan fragmen kedua menempati blok 9 sampai 11.

2.3.3 Partial File

Partial file merupakan beberapa bagian file yang terdapat pada blok, namun fragmen file lainnya tidak ada. Hal ini terjadi karena fragmen yang lain telah tertimpa (overwrite) oleh file lain.

Gambar 2.1 menampilkan file partial (file D) yang mempati blok 12 dan 13 dan tidak memiliki footer.

2.3.4 Embeded File

Suatu file akan disebut sebagai embeded file ketika sebuah file tersebut ditambahkan atau disimpan di dalam file lain.

Contohnya yaitu file JPEG yang disimpan dalam file word dokumen atau beberapa file yang disimpan dalam bentuk ZIP file.

2.4 Fragmentation

Fragmen merupakan satu blok atau urutan blok milik sebuah file.

Sebuah file dapat terdiri dari fragmen yang berbeda-beda yang tidak berurutan pada sebuah blok tetapi berhubungan satu sama lain. Jarak antara fragmen yang berbeda dari sebuah file tidak diketahui. Fragmen tersebut memiliki kemungkinan sudah tidak ada karena telah tertimpa oleh file yang lain (Poisel et all, 2011: 43).

Beek pada tahun 2011 menyatakan bahwa sistem operasi modern telah mencoba menulis file tanpa fragmentasi karena file akan lebih mudah untuk ditulis dan dibaca. Meski demikian, terdapat tiga kondisi di mana sistem operasi harus menulis file dengan 2 atau lebih fragmen, yaitu:

(32)

1. Tidak ada daerah sektor bersebelahan yang cukup besar pada media untuk menampung file tanpa fragmentasi. Hal ini dapat terjadi jika media penyimpanan tersebut telah digunakan dalam waktu yang lama, diisi dengan kapasitas mendekati full, dan telah digunakan untuk menambahkan dan menghapus file yang banyak dari waktu ke waktu.

2. Jika data ditambahkan pada file yang sudah ada terdapat kemungkinan unallocated sektor yang tidak cukup untuk menampung file dengan data baru. Dalam hal ini, beberapa file system dapat memindahkan file asli ke sektor yang dapat menampung, tetapi sebagian besar file system hanya akan menyimpan data yang baru di lokasi lain.

3. File system tidak mendukung untuk menyimpan file dengan ukuran tertentu dengan cara contiguous atau berdekatan. Sebagai contoh, Unix file system (UFS) akan melakukan fragmentasi terhadap file yang panjang atau memiliki byte pada akhir file yang tidak akan muat pada jumlah sektor yang ada.

Handoko (2015: 20) pada litearatur lain menyatakan penyebab terjadinya fragmentasi ialah file yang tersimpan dalam media penyimpanan telah terhapus sehingga mengakibatkan terbentuknya cluster kosong yang akan ditempati oleh file lain. Apabila ukuran file lebih besar dari pada cluster, maka file tersebut akan terbagi menjadi beberapa bagian agar dapat menempati cluster-cluster yang kosong. Penyebab fragmentasi dapat dilihat pada Gambar 2.2.

(33)

Gambar 2.2 Penyebab terjadi fragmentasi

Kondisi nomor 1 merupakan sebuah kondisi media penyimpanan yang masih kosong, yang akan diisi oleh 5 buah file yang berbeda. Kondisi nomor 2 merupakan kondisi saat file menempati media penyimpanan dan cluster yang kosong berurutan sehingga file yang terisi juga berurutan.

Kondisi nomor 3 merupakan konsidi saat ada file yang dihapus, sehngga cluster yang ditempati file tersebut menjadi kosong dan media penyimpanan mengalami fragmentasi. File system dapat melakukan defragmentasi namun akan berdampak pada performa waktu yang tidak dapat diperkirakan. Oleh karena itu, cluster yang kosong akan dibiarkan dan ditandai sebagai cluster yang siap digunakan. Saat file baru masuk ke dalam media penyimpanan yang telah terfragmentasi maka file tersebut otomatis akan terbagi menjadi beberapa bagian dan menempati cluster kosong yang tersedia (kondisi nomor 4).

(34)

2.5 Magic Number

Magic number memiliki banyak arti, namun ketika fokus kepada sebuah file maka magic number memiliki arti sebuah konstanta yang digunakan untuk mengidentifikasi format sebuah file. Setiap file pada umumnya memiliki header dan footer sebagai sebuah identitas dari sebuah file, misalnya pada file pdf dimulai (header) dengan “%PDF” dan diakhiri (footer) dengan “%EOF”, sementara pada file jpeg dimulai dengan

“0xFFD8” dan diakhiri dengan “0xFFD9”. Konstanta pada file tersebut disebut magic number (Merola, 2008:8).

Ashraf (2012: 6) dalam thesisnya menyatakan, untuk membedakan sebuah format file antara satu format dengan format lain, setiap file memiliki sebuah nilai konstan yang disebut magic number. File dalam komputer yang berhubungan dengan ekstensi seperti mp3 dan doc dapat membantu sistem operasi untuk mengidentifikasi program yang cocok untuk membuka file tersebut.

2.6 File Carving

File carving adalah metode untuk mengembalikan file dari ruang unallocated tanpa memiliki informasi file apapun dan digunakan untuk mengembalikan data pada penyelidikan digital forensik (Yoo et all, 2011:

243). Sementara itu, Poisel et all (2011: 43) dalam literatur lain menyatakan bahwa file carving adalah teknik pemulihan data yang memulihkan data berdasarkan pada informasi dan struktur file tanpa menyocokkan informasi file system. File carving hanya memedulikan isi dan struktur file, bukan struktur file system atau metadata lain yang digunakan untuk mengatur data pada media penyimpanan.

File carving digunakan dalam teknik computer forensics dan recovery data, mengesktrak file berdasarkan isi dari data tersebut bukan dari metadata. File carving dalam computer forensics, umumnya digunakan

(35)

untuk mengembalikan data dari ruang unallocated pada sebuah file system (Courrejou dan Garfinkel, 2011: 1). Literatur lain menyatakan bahwa teknik file carving terjadi selama investigasi digital dengan menganalisis ruang unallocated pada file system untuk mengekstrak file. File tersebut di- carving dari ruang unallocated menggunakan nilai header dan footer tipe file tertentu (Beek, 2011: 3).

File carving berguna ketika memulihkan data dan file yang sebelumnya telah dihapus, mengekstrak file dari unallocated space dari perangkat penyimpanan data digital, dan ketika sebuah perangkat penyimpanan rusak atau corrupt (Laurenson:2013: 419). File carving biasanya digunakan untuk mengembalikan file yang pernah dialokasikan dalam file system, namun file tersebut dihapus atau terhapus hingga metadata dari file tersebut tidak tersedia lagi. File carving juga berguna untuk memulihkan data ketika kondisi direktori, file allocation table, dan master table file tidak dapat diakses karena device failure (Courrejou dan Garfinkel, 2011: 1).

Teknik file carving sangat kuat karena file komputer dapat pulih dari raw data tanpa memerhatikan tipe file system. Selain itu, pengembalian data masih memungkinkan untuk dilakukan ketika metadata yang berada pada file system telah hancur (Laurenson:2013: 419). Selama data tidak overwritten atau dihapus, data pada semua perangkat media penyimpanan dapat dikembalikan dengan menggunakan teknik carving, termasuk perangkat multifungsi dan bahkan ponsel (Beek, 2011: 3).

2.7 Carving dan Recovery

Teknik carving dengan recovery merupakan dua teknik yang berbeda. Teknik recovery menggunakan informasi file system yang tersisa setelah penghapusan file. Informasi tersebut dapat digunakan untuk mengembalikan file dengan syarat jenis file system dari data yang ingin

(36)

dikembalikan harus diketahui. Jika tidak mengetahui file system yang ingin dikembalikan, maka file tidak dapat dipulihkan. Sementara itu, file carving menggunakan raw data dalam mengembalikan file dan tidak memperdulikan jenis file system media penyimpanan. Berdasarkan informasi di atas dapat disimpukan file system berpengaruh terhadap recovery sedangkan carving tidak dipengaruhi oleh file system (Beek :2011:

3).

2.8 Teknik File carving

Terdapat beberapa metode dalam melakukan file carving yaitu Header-Based Carving, File Struktur Carving, Block-Based Carving, dan File Validation (Laurenson, 2013 :423).

2.8.1. Header-Based Carving

Sebuah file memiliki header yang unik, yang biasanya disebut magic number atau file signature. Hal unik ini dapat digunakan untuk membantu mengidentifikasi awal file dan membantu proses carving tanpa menyesuaikan kebenaran info dari metadata. Teknik ini merupakan teknik dasar dari teknik file carving, mencari data dengan cara menandai header (awal file) dan footer (akhir file). Proses ini dilakukan untuk mengekstrak semua data yang terkandung di dalam header dan footer lalu kemudian menyalin data ke file external.

2.8.2. File Struktur Carving

Teknik file struktur carving didasarkan pada struktur internal sebuah file, di mana pengetahuan khusus tentang isi file tersebut dapat membantu merekonstruksi file asli. Ditujukan untuk menggabungkan kembali file yang telah terfragmentasi karena

(37)

metode header-based carving gagal merekonstruksi beberapa fragmen file.

2.8.3. Block-Based Carving

Salah satu teknik carving yang canggih adalah block-based carving yang mempertimbangkan informasi metadata dari isi sebuah blok data, misalnya menerapkan jumlah karakter atau menghitung informasi statistik.

2.8.4. File Validation

Metode validasi file adalah aspek integral dari proses file carving. Validasi memberikan konfirmasi bahwa data carving menghasilkan output yang valid. Oleh karena itu format validator otomatis adalah fungsi yang menerima sebuah blok data dan kemudian menentukan apakah itu sesuai dengan struktur format file sebelum menghasilkan file yang valid.

2.9 Alat Carving yang baik

Menurut Laurenson (2013:420) dalam thesisnya yang berjudul

“Performance Analysis of File carving Tools” alat carving dapat dinilai baik dengan melihat dari beberapa parameter, yaitu:

1. Kecepatan proses

Semakin cepat proses pengembalian file semakin baik karena informasi yang didapat dari pengembalian file tersebut dapat dikumpulkan lebih cepat. Semakin besar kapasitas media penyimpanan maka waktu yang dibutuhkan akan semakin lama.

2. Jumlah file yang kembali

Semakin banyak jumlah file yang kembali maka informasi yang didapatkan semakin banyak. Tetapi file yang kembali haruslah valid.

(38)

3. Kebenaran file yang kembali.

Validasi perlu dilakukan terhadap file hasil carving apakah benar file tersebut adalah file yang sebelumnya. Jika file yang kembali tidak valid maka alat carving tersebut tidaklah baik.

2.10 PhotoRec

PhotoRec merupakan sebuah alat open source yang dikembangkan untuk bekerja pada beberapa platform. Didistribusikan di bawah GNU General Public Lisence, siapapun dapat dengan mudah mendownload tanpa perlu mengkhawatirkan biaya (www.PhotoRec.co). Dalam website resminya dinyatakan PhotoRec adalah sebuah software recovery data yang dibuat oleh Christophe Grenier yang dirancang untuk memulihkan file yang hilang, termasuk video, dokumen, dan arsip dari hard disk, CD-ROM, dan kehilangan gambar (sesuai namanya Photo Recovery) dari kamera digital

(www.cgsecurity.org). Literatur lain menyatakan bahwa PhotoRec adalah

perangkat lunak pemulihan data yang dirancang untuk memulihkan file yang hilang dari media penyimpanan kamera digital (Compact Flash, Memory Stick, Secure Digital, Smart Media, Microdrive, MMC, USB flash drive, dan lain-lain), hard disk dan CD-ROM (Beek, 2011: 5).

PhotoRec dapat bekerja pada semua sistem operasi seperti DOS, Windows 9 X, Windows NT 4/2000/XP/2003/Vista/2008/7, Linux, Mac OS X, Sun Solaris, FreeBSD, OpenBSD, NetBSD, dan Unix

(www.PhotoRec.co). Format file yang paling umum untuk dikembalikan

yaitu foto, audio, dokumen, pdf, html, dan arsip. PhotoRec tidak berusaha menulis file ke media yang rusak yang sedang dilakukan pemulihan. File yang dikembalikan akan ditulis ke direktori PhotoRec dijalankan atau direktori lain yang dipilih (Beek, 2011: 5).

PhotoRec tidak bekerja berdasarkan file system, sehingga dapat digunakan pada berbagai jenis file system seperti FAT, NTFS, ext2, ext3,

(39)

dan ext4. PhotoRec dapat memulihkan data dengan berbagai ekstensi file, kurang lebih 480 ekstensi file yang dapat dipulihkan (www.PhotoRec.co).

Dalam literatur lain dinyatakan PhotoRec tidak memperdulikan file system, sehingga akan tetap bekerja walaupun file system pada media penyimpanan telah rusak ataupun telah diformat ulang. PhotoRec dapat memulihkan berbagai format file termasuk ZIP, seluruh daftar format file pada PhotoRec sekitar 480 ekstensi file. PhotoRec merupakan program pendamping untuk TestDisk, maka untuk dapat menggunakan PhotoRec, kita hanya perlu menginstall TestDisk (www.cgsecurity.org).

Untuk mengembalikan file yang hilang, pertama-tama PhotoRec akan mencoba menemukan blok data. Jika file system tidak rusak blok dapat ditemukan di superblok untuk file system ext2/ext3/ext4, sedangkan untuk FAT dan NTFS dapat ditemukan pada volume boot record. Dalam keadaan lain, PhotoRec membaca media, sektor per sektor, lalu mencari 10 file pertama yang ditemukan. PhotoRec memeriksa konsistensi file (yang ditentukan dari file signature) lalu jika memungkinkan maka dimulailah menyimpan file yang baru ke media yang telah ditentukan (mengembalikan data).

Jika data tidak terfragmentasi, maka file yang dikembalikan harus memiliki ukuran yang sama dengan file yang asli. Dalam beberapa kasus, PhotoRec mempelajari ukuran file asli dari header file, sehingga file yang akan dikembalikan memiliki ukuran yang sama. Ketika file berhasil dipulihkan, PhotoRec kembali memeriksa blok data sebelumnya untuk melihat apakan ada file signature lain yang ditemukan tetapi tidak berhasil dikembalikan karena file terlalu kecil, maka PhotoRec mencoba kembali mengembalikan file tersebut. Dengan cara seperti ini file yang terfragmentasi dapat dikembalikan (www.cgsecurity.org).

(40)

2.11 Foremost

Foremost merupakan sebuah alat forensik open source yang dibuat untuk platform Linux. Foremost dikembangkan oleh agen khusus dari U.S.

Air Force Office of Special Investigations yaitu Kris Kendall dan Jesse Kornblum. Alat ini tidak diberikan perlindungan hak cipta karena merupakan pekerjaan dari pemerintah AS. Alat ini terinspirasi dan didesain untuk meniru fungsi program DOS CarvThis yang ditulis oleh Defense Computer Forensics Lab. Dalam forensik, Foremost memungkinkan pengembalian file atau partial file secara otomatis dari bit image atau secara langsung dari media itu sendiri berdasarkan header dan footer sebuah file yang telah ditentukan pada sebuah konfigurasi yang telah dibuat (Mickus, 2005:7). Sementara itu, Merola (2008:19) menyatakan foremost merupakan alat yang terkenal, pada awalnya dikembangkan di US AirForce oleh Kriss Kendall dan Jesse Kornblum. Foremost bekerja pada image file, seperti yang dihasilkan oleh dd, Safeback, EnCase, dll atau secara langsung pada sebuah drive.

Foremost bekerja dengan cara membaca sebuah media berupa drive atau image drive yang sedang diamati ke dalam chunk memori dengan ukuran yang telah ditentukan, pada dasarnya ukuran chunk memori tersebut sebesar 10 MB yang akan dianalisa setiap waktu. Setiap chunk memori tersebut akan mencari header file yang terkandung dalam konfigurasi foremost. Jika sebuah header yang ditemukan cocok, foremost akan berusaha mencari footer yang sesuai dengan header file tersebut. Jika footer telah ditemukan, maka file yang akan dipulihkan ditulis ke disk yang lain, tetapi jika tidak ditemukan maka foremost akan membuang file setelah header yang memiliki ukuran maksimum. Jika tidak ada footer yang didefinisikan pada konfigurasi, maka foremost akan mengekstrak byte yang memiliki jumlah maksimal yang telah ditentukan pada konfigurasi setelah setiap header ditemukan. Menggunakan batasan ukuran file berfungsi untuk menghentikan foremost untuk menambahkan data jika footer tidak dapat

(41)

ditemukan. Pendekatan tesrebut merupakan pendekatan yang cukup efisien jika header/footer didefinisikan secara unik, meskipun kasus seperti ini jarang terjadi (Mickus, 2005:7).

2.12 Fungsi Hash

Algoritma hash atau biasanya juga disebut algoritma message digest merupakan algoritma yang menghasilkan vektor bit yang unik dengan panjang ukuran yang tetap dari pesan M yang berukuran berubah-ubah.

Vector bit disebut hash dari pesan dan di sini dilambangkan dengan huruf H. Hash dapat dianggap sebagai sidik jari dari sebuah pesan (Solanki, 2012:

391). Sufandi (2007: 1) menyatakan hash adalah suatu teknik “klasik”

dalam ilmu komputer yang banyak digunakan dalam praktek secara mendalam. Hash merupakan suatu metode yang secara langsung mengakses record-record dalam suatu tabel dengan melakukan transformasi aritmatik pada key yang menjadi alamat dalam tabel tersebut. Key merupakan suatu input dari pemakai di mana pada umumnya berupa nilai atau string karakter.

Literatur lain (Munir, 2004: 1) menyatakan fungsi hash adalah fungsi yang menerima masukan string yang panjangnya sembarang dan mengonversinya menjadi string keluaran yang panjangnya tetap (fixed) (umumnya berukuran jauh lebih kecil dari ukuran semula). Fungsi hash dapat menerima masukan apa saja. Jika string menyatakan pesan (message), maka sembarang pesan M berukuran bebas dikompresi oleh fungsi hash H melalui persamaan h=H(M).

Keluaran fungsi hash disebut juga nilai hash (hash-value) atau pesan-ringkas (message digest). Pada persamaan h=H(M), h adalah nilai hash atau message digest dari fungsi H untuk masukan M. Dengan kata lain, fungsi hash mengompresi sembarang pesan yang berukuran berapa saja menjadi message digest yang ukurannya selalu tetap (dan lebih pendek dari panjang pesan semula) (Munir, 2004: 1).

(42)

Sadikin (2012) memberikan contoh misalnya M merupakan pesan dan h adalah fungsi hash, maka y= h(M) disebut dengan sidik pesan x atau sering juga disebut dengan message digest. Sebuah message digest umumnya berukuran pendek yaitu sekitar 160 bit. Gambar 2.3 menunjukkan pengujian keutuhan pesan dengan fungsi hash.

Gambar 2.3 Pengujian keutuhan pesan dengan fungsi hash

Pada gambar 2.3 sebelum pesan M disebarkan atau dikirimkan sebuah message digest ylama= h(M) disimpan sebagai acuan. Misalnya didapatkan kembali M’ setelah disebarkan atau dikirim, apabila ingin menguji apakah M = M’ hitung kembali message digest baru ybaru= h(M’) maka dapat disimpulkan bahwa pesan tidak berubah bila ylama = ybaru

(Rahman dan Rodiah, 2012: 2).

Menurut Sufandi (2007: 1) pelacakan menggunakan hash terdiri dari 2 langkah utama, yaitu :

1. Menghitung fungsi hash

Fungsi hash adalah fungsi yang mengubah key menjadi alamat dalam tabel. Fungsi hash memetakan sebuah key ke suatu alamat dalam tabel. Idealnya, key-key yang berbeda seharusnya dipetakan ke alamat- alamat yang berbeda juga. Kenyataannya, tidak ada fungsi hash yang sempurna. Kemungkinan besar yang terjadi adalah dua atau lebih key

(43)

yang berbeda dipetakan ke alamat yang sama dalam tabel. Peristiwa ini disebut dengan collision (tabrakan). Karena itulah diperlukan langkah berikutnya yaitu, collision resolution (pemecahan tabrakan).

2. Collision Resolution

Merupakan proses untuk menangani kejadian 2 atau lebih key di-hash ke alamat yang sama. Cara yang dilakukan jika terjadi collision adalah mencari lokasi yang kosong dalam tabel hash secara terurut.

Cara lainnnya adalah dengan menggunakan fungsi hash yang lain untuk mencari lokasi kosong tersebut.

Fungsi hash yang banyak dipakai di dalam aplikasi kriptografi adalah MD5 dan SHA-1. Namun pada MD5 telah ditemukan bug sehingga sudah menjadi tidak aman, sedangkan SHA-1 untuk saat ini masih dianggap aman (Muttaqin, 2015 :27). Oleh karena itu dalam penelitian kali ini SHA- 1 digunakan untuk menguji validasi atau kebenaran hasil file carving.

2.13 SHA-1

SHA adalah fungsi hash satu arah yang dibuat oleh NIST dan digunakan bersama DSS (Digital Signature Standard). Oleh NSA, SHA dinyatakan sebagai standar fungsi hash satu arah. SHA didasarkan pada MD4 yang dibuat oleh Ronald L. Rivest dari MIT. SHA disebut aman (secure) karena ia dirancang sedemikian rupa sehingga secara komputasi tidak mungkin menemukan pesan yang berkoresponden dengan message digest yang diberikan. Algoritma SHA menerima masukan berupa pesan dengan ukuran maksimum 2⁶⁴ bit (2.147.483.648. gigabyte) dan menghasilkan message digest yang panjangnya 160 bit, lebih panjang dari message digest yang dihasilkan oleh MD5 (Munir, 2004:6).

SHA dikembangkan oleh National Institute of Standards and Technology (NIST) dan National Security Agency (NSA) sebagai komponen Digital Signature Standard (DSS). Standard hash adalah Secure

(44)

Hash Standard (SHS) dengan SHA sebagai algoritma yang digunakan. SHS menetapkan SHA yang diperlukan untuk menjamin keamanan Digital Signature Algorithm (DSA). Sebuah revisi dari SHA sebagai FIPS 180-1 pada tahun 1995 dan secara umum dikenal SHA-1 (Sufandi, 2007:2).

Menurut Sufandi (2007:3) karena SHA-1 dan MD5 dikembangkan atau diturunkan dari MD4 maka keduanya mempunyai kemiripan satu sama lain, baik kekuatan dan karakteristiknya, berikut perbedaan SHA-1 dan MD5 :

1. Keamanan terhadap serangan brute force.

Hal yang paling penting adalah bahwa SHA-1 menghasilkan digest 32 bit lebih panjang dari MD, sehingga jika diserang menggunakan brute force maka SHA-1 lebih kuat dibanding MD5.

2. Keamanan terhadap kriptanalisis.

Kelemahan MD5 ada pada design sehingga lebih mudah dilakukan kriptanalisis dibandingkan SHA-1.

3. Kecepatan

Kedua algoritma bekerja pada modulo 2³² sehigga keduanya bekerja dengan baik pada arsitektur 32 bit. SHA-1 mempunyai langkah lebih banyak dibanding MD5 dengan perbandingan sebesar 80:64 dan harus memproses 160 bit buffer dibanding MD5 hanya 128 bit buffer.

4. Simplicity

Kedua algoritma simpel untuk dijelaskan dan mudah untuk diimplementasikan karena tidak membutuhkan program yang besar atau tabel substitusi yang besar pula.

5. Little-endian vs Big-endian Arsitektur

MD5 menggunakan skema little-endian, sedangkan SHA-1 menggunakan skema big-endian. Keduanya tidak memberikan keuntungan yang signifikan untuk SHA-1 maupun MD5.

(45)

2.14 Disk imaging

Disk imaging adalah proses pembuatan duplikasi sebuah media penyimpanan ke dalam bentuk image. Media penyimpanan dibaca langsung bit per bit tanpa menggunakan file system pada proses disk imaging. Proses ini juga menggandakan data yang tidak berhubungan dengan file seperti boot sector. Karena cara kerjanya tersebut maka dihasilkan sebuah image yaitu duplikat dari media penyimpanan yang isinya sama persis dengan media penyimpanan sebenarnya (Leaver, 2007). Proses disk imaging sangat penting untuk menghindari pemakaian media penyimpanan lebih lanjut yang dapat mengakibatkan overwrite sehingga mengurangi proses pengembalian data.

Gambar 2.04 Proses disk imaging

Pertama, sektor pada media penyimpana dibaca secara low level sehingga isi pada sektor berupa bilangan hexadesimal. Selanjutnya bilangan hexadesimal tersebut disimpan ke buffer, isi pada buffer akan dituliskan ke sektor yang ada pada image drive. Proses ini terulang sampai semua sektor yang ada pada media penyimpanan sebenarnya ditulis ulang ke image drive.

Sektor merupakan unit penyimpanan terkecil dalam sebuah disk yang memiliki ukuran sebesar 512 byte.