1. Penelitian ini membahas forensik gambar digital pada perangkat Android dengan melakukan recovery data image yang terdapat di memori internal dan eksternal Nexian NX-A891 menggunakan USB image tools dan dd command.
2. File yang sudah dihapus dengan aplikasi lokal kemudian diekstrak menggunakan Files Scavenger dan dibandingkan dengan file asli menggunakan JPEGNoob.
3. Hasil recovery sama dengan file asli, menunjukkan bahwa proses recovery berhasil dil
1. Forensik Gambar Digital pada Perangkat Android
Muhammad Abdul Jafar Sidiq(113091011), Caisar Oentoro(113090064),
Dafiz Adi Nugroho(113090005)
Fakultas Informatika
Institut Teknologi Telkom
Bandung, Indonesia
jafarsidiq52@gmail.com,czaroentoro@gmail.com,davisadn@gmail.com
Abstraksi Setiap perangkat mungkin memiliki kebutuhan yang
Seiring perkembangan teknologi telekomunikasi berbeda untuk mengakses, ekstrak, recovery, dan
dan seluler, perangkat mobile seperti smartphone dengan menganalisis data. Penelitian dilakukan menggunakan
sistem operasi Android sekarang sudah menjadi tren Nexian NX-A891 Sistem Operasi Android Froyo 2.2.2,
perangkat mobile dikalangan masyarakat di dunia. Tidak untuk menentukan suatu proses untuk melakukan
hanya dari segi fitur dan kecanggihan yang ditawarkan, recovery data internal dan eksternal untuk perangkat ini,
tetapi dari segi kenyamanan dan harga yang ditawarkan. dilakukan penelitian untuk melakukan recovery di
Banyak perangkat mobile yang berbeda-beda yang perangkat ini.
menggunakan sistem operasi Android dengan bermacam- Penelitian yang dilakukan untuk merecovery data
macam teknologi yang ada didalamnya. Oleh karena itu image yang terdapat di dalam memory internal dan
dalam proses recovery data yang ada di dalam memori eksternal yang ada di dalam smartphone Android Nexian
internal atau eksternal perangkat tersebut berbeda-beda NX-A891 Froyo 2.2.2 yaitu pertama kali yang dilakukan
dalam segi penyelesaiannya. Dan dalam hal ini focus adalah menformat data yang ada di perangkat tersebut,
yang ditujukan memori internal dan eksternal pada kemudian dengan USB image tools dan dd command
perangkat smartphone Nexian NX-A891 dengan sistem untuk mendapatkan file tersebut, lalu diekstrak keduanya
operasi Android Froyo 2.2.2 yang sudah di root. Data file dengan files scavenger dan bandingkan dengan
image yang ada didalam memori internal atau eksternal JPEGNoob. Hasil recovery dari kedua cara tersebut akan
yang ada di dalam perangkat tersebut di ekstrak ke dalam dibandingkan satu sama lain, jika hasilnya sama berarti
image dengan menggunakan USB image tools dan dd penelitian sukses dilakukan.
command. Setelah itu ekstrak file tersebut dengan Files
Scavenger dan kemudian bandingkan dengan 2 Teori dasar
menggunakan JPEGNoob apakah file tersebut sama
2.1 Android
dengan file sebelum dihapus.
Sejak adanya perangkat mobile, dan Smartphone
Keywords: android, forensik,memori,recovery
khususnya, teknologi perangkat mobile telah berkembang
1 Pendahuluan pesat yaitu tidak hanya sebagai alat komunikasi seluler
tetapi juga digunakan sebagai alat komputasi seperti
Smartphone dalam perkembangannya menjadi suatu
Laptop dan Notebook. Platform Google Android
perangkat yang banyak digunakan oleh orang, banyak
merupakan platform open source yang dirancang untuk
orang menggunakannya untuk kebutuhan komunikasi
perangkat mobile seperti Smartphone dan Tablet. Android
ataupun sebagai perangkat pengganti komputer dalam
juga mencakup sistem operasi yang berbasis Linux,
pekerjaan sehari-hari, popularitas smartphone juga
kernel 2.6 middleware untuk memfasilitasi fitur seperti
meningkat seiring pesatnya perkembangan smartphone
pemrograman dan aplikasi kunci. Dalam hal penjualan
itu sendiri. Tak terkecuali sistem operasi Android yang
smartphone di pasar dunia, smartphone Android menjadi
cepat memperoleh pangsa pasar yang besar dan sedang
smartphone favorit yang dibeli oleh orang di pangsa
digunakan pada berbagai macam perangkat, termasuk
pasar, dengan 50% dari penjualan smartphone secara
smartphone dan tablet. Ada kebutuhan besar untuk dapat
keseluruhan mengalahkan Apple dengan 25%.
mengekstrak dan menganalisis recovery data dari
perangkat android, misalnya pada file gambar. Tetapi, Dengan perangkat Android, terdapat empat
karena perangkat ini merupakan teknologi yang baru, ada sumber didalamnya: penyimpanan internal, SD card,
kekurangan informasi tentang bagaimana untuk RAM, dan kartu SIM. Dalam penelitian ini, fokus kami
melakukan recovery data tersebut. adalah recovery data pada penyimpanan internal eksternal
khusunya SD card. Dan perangkat Android yang kita
2. gunakan adalah Nexian NX-A891 dengan sistem operasi
Froyo 2.2.2.
2.2 Memori Eksternal
Memory Eksternal adalah memori tambahan yang
berfungsi untuk menyimpan data atau program. Dengan
kata lain memory ini termasuk perangkat keras untuk
melakukan operasi penulisan, pembacaan dan Gambar 3.1 perangkat android yang terdeteksi
penyimpanan data, di luar memori utama. Misal di dalam Jika perangkat sudah dapat dideteksi pada output,
smartphone Android adalah SD card. Pada dasarnya maka tahapan selanjutnya adalah menggunakan
konsep dasar memori eksternal adalah Menyimpan data SuperOneClick. Menggunakan SuperOneClick relatif
bersifat tetap (non volatile), baik pada saat komputer aktif mudah, untuk melakukan rooting yang perlu dilakukan
atau tidak. adalah klik tombol ‘Root’ seperti gambar di bawah ini:
Memori eksternal mempunyai dua fungsi utama
yaitu sebagai penyimpan permanen untuk membantu
fungsi RAM dan yang untuk mendapatkan memori murah
yang berkapasitas tinggi bagi penggunaan jangka
panjang.
2.3 Memori Internal
Memory Internal adalah Memori yang dapat diakses
secara langsung oleh prosesor. Memori internal memiliki
fungsi sebagai pengingat. Dalam hal ini yang disimpan di
dalam memori utama dapat berupa data atau program.
Secara lebih rinci, fungsi dari memori utama adalah :
Menyimpan data yang berasal dari peranti masukan
sampai data dikirim ke ALU (Arithmetic and Logic Unit)
Gambar 3.2 penggunaan SuperOneClick
untuk diproses Menyimpan daya hasil pemrosesan ALU
sebelum dikirimkan ke peranti keluaran Menampung Jika proses root telah selesai, untuk mengetahui
program/instruksi yang berasal dari peranti masukan atau apakah perangkat berhasil dirooting atau tidak adalah
dari peranti pengingat sekunder. Ada dua jenis memory dengan mengetikkan pada command-line perintah
ROM dan RAM. berikut: adb shell su. Keluaran yang dihasilkan jika
proses rooting berhasil adalah sebagai berikut:
3 Implementasi dari forensik perangkat
android
3.1 Menyiapkan Android untuk rooting.
Untuk melakukan rooting pada Android (khususnya
Android 2.2), dapat menggunakan aplikasi
SuperOneClick[shotfuse.org]. Sebelum menggunakan
SuperOneClick, tools lain yang wajib dimiliki adalah Gambar 3.3 melihat Android yang telah di root
Android Development Tools (ADB) dan driver dari
masing-masing ponsel. Driver dibutuhkan agar ADB 3.2 Membuat image dari memori internal
dapat digunakan pada komputer, karena setiap ponsel menggunakan perintah dd
mungkin berbeda – beda, ada yang memerlukan driver File sistem utama Android disimpan di beberapa
agar ADB bisa digunakan, ada juga yang bisa langsung tempat berbeda di direktori /dev. Kernel Linux
menggunakan ADB tanpa harus menginstall driver pada menggunakan MTD agar bisa berjalan langsung pada
komputer terlebih dahulu. Untuk memastikan embedded system (memori flash). Biasanya terdapat 6 file
ketersediaan ponsel (apakah ADB dapat dijalankan), utama yang terdapat pada /dev/mtd, yaitu:
dapat dilakukan pengujian dengan mengetikkan pada Mtd0 biasanya digunakan Android untuk
command line: adb devices. menangani beranekaragam tugas.
Mtd1 digunakan sebagai image recovery
3. Mtd2 mengandung partisi untuk boot. 2. Mengopi file yang akan dilakukan forensik ke sd
Mtd3 mengandung file sistem card. Dalam hal ini adalah file jpeg.
Mtd4 menampung cache 3. Membuat file image dari sd card dengan
Mtd5 menampung data pengguna. menggunakan usb image tool.
4. Menghapus file dengan aplikasi local pada
Meskipun setiap file penting untuk dibuat berkas
android. Yaitu ES file explorer.
image – nya, sebagian besar penelitian yang dilakukan
5. Mengekstrak semua file dari image dengan
berfokus pada block mtd3 dan mtd5 (untuk
menggunakan tool Files Scavenger.
mempermudah percobaan serta data-data penting
6. Membandingkan hasil dari file asli dan file
biasanya terdapat dalam blok memori ini). dd command
ekstraksi hasil forensik dengan Jpegnoob.
memerlukan lingkungan shell serta privilege root untuk
7. Jika hasilnya sama, proses recovery telah
bisa dijalankan pada terminal.
berhasil
Dd command mempunyai 3 parameter utama,
yaitu input file(if), output file(of), dan byte size(bs). Input 4 Hasil eksperimen
file menspesifikasikan di mana path yang akan dibuat Hasil percobaan dengan menggunakan android 2.2(froyo)
image file-nya. Output file menspesifikasikan nama file dengan identifikasi device sebagai berikut
atau path yang akan menjadi nama file image nya.
Sedangkan byte size adalah berapa banyak atau jumlah
byte yang dibaca, ditulis atau dikonversi dalam satu
waktu. Berikut ini cara menggunakan perintah dd:
Gambar 3.4 Menjalankan perintah dd
Yang perlu diperhatikan adalah perintah tersebut
langsung mengarahkan keluarannya ke memori eksternal
(kartu memori). Untuk alasan tersebut, alangkah lebih
baik jika kartu memori yang digunakan harus benar-benar
kosong atau bila masih berisi, isi dari kartu memori
tersebut di pindahkan terseblih dahulu ke harddisk atau
media penyimpanan lainnya, lalu memori eksternal Gambar 4.1 identifikasi perangkat
tersebut di sapu bersih (wipe). Sebagai tambahan,
diperlukan kehati-hatian dalam menulis path input dan
output (if dan of), karena jika tidak atau salah tulis bisa
menulis ulang (overwrite) path file system.
3.3 Membuat image dari eksternal memori
dengan USB image tool
Banyak tool untuk membuat file image dari
eksternal memory. Eksternal memory pada device
android seperti halnya flashdisk dan ssd. Dari sekian
banyak tool tersebut, USB Image tools merupakan salah
satu tool yang bagus untuk digunakan karena ringan,
mudah digunakan dan dapat melakukan hashing dengan
md5. Sehingga hasil file image dapat dicek keasliannya Gambar 4.2 spesifikasi perangkat
dengan memory dengan mengecek nilai hashnya. Riset Dari eksternal memory, dibuat file image yang
ini bertujuan untuk membuktikan apakah file bisa merupakan bit by bit copy dari eksternal momory dengan
direcover dengan baik tanpa menghilangkan informasi usb image tool.
yang ada. Oleh karena itu, prinsip-prinsip dan prosedur-
prsedur dalam forensik juga harus diterapkan dalam riset
ini. Dan skenario dalam riset ini adalah :
1. Wipe SD card untuk testing
4. Gambar 4.3 USB image tool
Hasil forensik dari eksperimen ini adalah file
jpeg yang telah dihapus dengan menggunakan aplikasi
local di android mampu di recovery dengan
menggunakan file scavenger.
Gambar 4.6 analisa pada file asli
Gambar 4.4 file sebelumrecovery
Gambar 4.7 analisa pada file hasil forensik
Analisa hasil forensik dan file asli dengan
menggunakan jpeg noob didapat hasil seperti diatas. Dari
hasil tersebut, dapat dianalisa bahwa hasil forensik dan
Gambar 4.5 file pada proses recovery file asli memiliki karakteristik yang sama diantaranya
nilai offset, identifier, length, endian, dan panjang
direktori. Dapat disimpulkan bahwa kedua file adalah
sama dan proses forensik tersebut berhasil karena tidak
menghilangkan informasi yang ada pada barang bukti
5 Kesimpulan
Penghapusan barang bukti pada memori di
perangkat android dapat dilakukan recovery karena pada
dasarnya menghapus file pada suatu memori, sistem tidak
akan menghapus secara fisik dan hanya melabeli bit-bit
file dengan label dihapus. Sehingga dengan berbagai
metode dan tool, suatu file yang telah dihapus dapat
5. dikembalikan lagi. Dan pada proses forensik, berbagai
prinsip dan prosedur yang menjadi SOP harus
dilaksanakan untuk memberikan validitas pada suatu
barang bukti. Beberapa diantaranya adalah pelaku
forensik tidak boleh mengubah barang bukti asli sehingga
harus menggunakan file kopi atau image dari barang
bukti. Pelaku forensik juga tidak boleh merusak atau
menghancurkan barang bukti. Dan tolak ukur dari
keberhasilan proses recovery adalah barang atau file hasil
recovery harus sama dengan barang atau file asli. Pada
forensik di perangkat android, recovery file dari eksternal
memori dapat dilakukan dengan mudah, tetapi recovery
pada internal memori sangat sulit dilakukan karena
system operasi android akan menghapus data secara
permanen atau wipe data pada internal memori jika ada
suatu file yang dihapus.
Referensi
[1]Hoog, A. (2011, June). Geeks Guide to Digital
Forensics. Retrieved
fromhttp://viaforensics.com/computer-
forensics/google-tech-talk-geeks-guide-to-digital-
forensics-june-2011.html
[2]Lessard, J., & Kessler, G. C. (2010). Android
Forensics: Simplifying Cell Phone Examinations.
Small Scale
[3]Digital Device Forensics Journal, 4(1). Manning, C.
(2002, September). YAFFS: the NAND-specific flash
file system - Introductory Article | YAFFS.
[4]Retrieved October 12, 2011, from
http://www.yaffs.net/yaffs-nand-specific-flash-file-
system-introductory-article
[5]Manning, C. (2006, July). YAFFS Direct User Guide |
YAFFS. Retrieved October 12, 2011, from
http://www.yaffs.net/yaffs-direct-user-guide
[6]Mtdutils - Texas Instruments Embedded Processors
Wiki. (2009, March). Retrieved October 12, 2011,
from http://processors.wiki.ti.com/index.php/Mtdutils
[7]Myers, D. (2008, February). On the Use of NAND
Flash Memory inHigh-Performance Relational
Databases. Retrieved from
http://people.csail.mit.edu/dsm/flash-thesis.pdf
[8]SuperOneClick. (2010). Retrieved October 12, 2011,
from http://forum.xda-
developers.com/showthread.php?t=803682 U.S.
Smartphone Market: Who’s the Most Wanted? (2011,
March). Retrieved October 12, 2011, from
http://blog.nielsen.com/nielsenwire/?p=27418