Flashdisk Imaging

Imaging adalah sebuah proses pengandaan isi dari barang bukti flashdisk secara physical sehingga hasil imaging akan sama persis dengan barang bukti secara physical. Derajat kesamaan ini dapat dipastikan melalui proses hashing yang diterapkan pada keduanya.  Jika nilai hash antara hasil imaging dengan barang bukti adalah sama, maka dapat dipastikan bahwa keduanya adalah indentik dan hasil imaging bersifat forensik, yang artinya dapat dipertanggungjawabkan secara ilmiah dan hukum, untuk selanjutnya hasil imaging ini dapat dipergunakan untuk pemeriksaan dan analisis lebih lanjut. Sebaliknya, jika nilai hash keduanya berbeda, maka proses forensic imaging harus diulang sampai mendapatkan nilai hash yang sama(Al-Azhar, M.N.(2012)).

Sekarang saya melakukan proses imaging pada sebuah flashdisk model JetFlash Transcend 2GB (scsi).
1.  Melihat Flash yang akan dilakukan proses imaging berada pada perangkat scsi berapa.
1
Berdasarkan informasi diatas, menunjukan bahwa Flashdisk yang akan dicloning/imaging berada di /dev/sdc1.

2. Sebelum melakukan cloning/imaging, kita perlu mengetahui hash value pada drive asli yang kemudian digunakan untuk membandingkan dengan hasil cloning.
md5sum /dev/sdc

Output:
6c03a23f98a5e2bc0c1e5fdc27783823  /dev/sdc
md5
3. Kemudian perlu tahu berapa sector yang ada di drive asli.
hdparm /dev/sdc

Output:
/dev/sdc:
SG_IO: bad/missing sense data, sb[]:  f0 00 05 00 00 00 00 0a 00 00 00 00 26 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
 multcount     =  0 (off)
 readonly      =  0 (off)
 readahead     = 256 (on)
 geometry      = 1009/63/62, sectors = 3944448, start = 0
sector

4. Mengunakan utilitas dcfldd untuk melakukan imaging pada drive.
dcfldd if=/dev/sdc of=/media/DATA/usb.dd hash=md5 hashlog=/media/DATA/hashlog.txt

Output:
61440 blocks (1920Mb) written.
61632+0 records in
61632+0 records out
cloning
5.  Membandingkan drive asli dan file image hasil cloning:
md5sum /media/DATA/usb.dd /dev/sdc

Output:
6c03a23f98a5e2bc0c1e5fdc27783823  /media/DATA/usb.dd
6c03a23f98a5e2bc0c1e5fdc27783823  /dev/sdc
hasil

Hasil perbandingan menunjukan bahwa nilai hash drive asli dan hasil cloning sama.

This entry was posted in DIGITAL FORENSICS. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s