UTS

COMPUTER FORENSICKELAS BK091

FORENSIC PADA FLASHDISK

Oleh :

Adis Satwian 090010258

STMIK/STIKOM BALI

2012/2013

Pada laporan ini, penulis akan mencoba melakukan forensic pada Flashdisk USB dimana

USB tersebut terdapat transaksi file yang tidak diketahui sebelumnya, dan file tersebut sudah

dihapus oleh si pelaku/tersangka. Maka dari itu, penulis akan mencoba melakukan forensic untuk

mengetahui file yang ditransfer, serta bukti bahwa USB yang bersangkutan pernah plugged in.

Untuk mengetahui history dari suatu USB yang pernah melakukan transaksi, penulis

menggunakan tool USBDeview.

Gambar 1. Proses melihat history dari USB menggunakan tool USBDeview.

Pada tampilan gambar 1 di atas, USBDeview menampilkan semua history USB Device

yang pernah melakukan transaksi pada komputer yang bersangkutan. Dari history tersebut,

terbukti bahwa USB Device yang terakhir kali plugged in adalah Kingston Data Traveller 2.0

USB Device pada tanggal (Last Plug/Unplug) 17 November 2012 jam 01:56. Sedangkan proses

instalasi driver USB tersebut dilakukan (Created Date) pada tanggal 15 November 2012 jam

21:25.

Artinya, USB tersebut plugged in pertama kali pada tanggal 15 November 2012 malam,

dan kembali melakukan transaksi pada tanggal 17 November 2012.

Untuk melihat detail dari USB yang bersangkutan, bisa dilihat dari Properties USB

tersebut pada USBDeview, seperti pada gambar di bawah :

Gambar 2. Proses melihat detail dari USB

Pada tahap selanjutnya, penulis akan mencoba mencari isi file dari USB yang sudah

terhapus tersebut dan mencari tahu, file apa saja yang sudah ditransfer dari komputer

bersangkutan.

Gambar 3. Properties pada USB Kingstone

Gambar di atas, menunjukkan bahwa USB Traveler Kingstone tersebut benar-benar

kosong tanpa adanya file satupun. Berikutnya, untuk mencari file yang sudah terhapus, penulis

akan gunakan tool EnCase Forensic.

Gambar 4. Proses mencari file yang terhapus menggunakan tool EnCase Forensic.

Dengan menggunakan EnCase, berikut akan tampak file yang sudah terhapus tersebut.

Gambar 5 & 6. Tampilan file .jpg yang telah terhapus.

Dari gambar di atas, diketahui bahwa file tersebut adalah file image .jpg dengan rincian

sebagai berikut :

File berupa image .jpg dengan ukuran 1.557KB (1.5MB) sesuai logical sizenya.

File ditransfer ke USB pada tanggal 17 November 2012 jam 02:03.

Kemudian, file yang sudah terhapus, akan penulis kembalikan terlebih dahulu dengan cara

copy/unrase file tersebut.

Gambar 7. Proses Mengembalikan file yang telah terhapus ke hardisk

Pada gambar dibawah berikut, klik Next.

Gambar 8. Proses Mengembalikan file yang telah terhapus ke hardisk

Dan file tersebut, akan penulis save dilokasi D:\Document\Owner\My Document\My Pictures

Gambar 9. Proses Mengembalikan file yang telah terhapus ke hardisk dan disimpan di D:\

Document\Owner\My Document\Downloads\Picture\

Gambar 10. File .jpg telah berhasil dikembalikan dan disimpan pada :\Document\Owner\My

Document\Downloads\Picture\

Berikutnya, penulis akan menggunakan tool HxD untuk melihat keaslian file tersebut.

Gambar 11. Proses melihat keaslian file .jpg menggunakan tool HxD

Open file .jpg yang sudah disimpan sebelumnya (hasil export dari EnCase).

Gambar 12. Proses mengambil atau open file hasil export dari EnCase

Gambar 13. Proses melihat isi file .jpg

Dari gambar di atas,

1. Terlihat bahwa file image tersebut diambil dari camera MT-15i (Sony Ericson Xperia-

Neo) dengan menggunakan aplikasi Camera360 pada tanggal 16 Oktober 2012, Pukul

12:39.

KESIMPULAN

Berdasarkan hasil penulusuran forensic di atas, pemulis menyimpulkan sebagai berikut :

Ada sebuah USB (Kingstone Data Traveler) yang melakukan transfer data terakhir

kali pada tanggal 17 November 2012 jam 02:03 malam.

File image yang terhapus tersebut dicreate pertama kali pada tanggal 16 Oktober

2012 pukul 12:39.