Forensik Gambar Digital pada Perangkat Android

Muhammad Abdul Jafar Sidiq(113091011), Caisar Oentoro(113090064),

Dafiz Adi Nugroho(113090005)

Fakultas Informatika

Institut Teknologi Telkom

Bandung, Indonesia

jafarsidiq52@gmail.com,czaroentoro@gmail.com,davisadn@gmail.com

Abstraksi

Seiring perkembangan teknologi telekomunikasi

dan seluler, perangkat mobile seperti smartphone dengan

sistem operasi Android sekarang sudah menjadi tren

perangkat mobile dikalangan masyarakat di dunia. Tidak

hanya dari segi fitur dan kecanggihan yang ditawarkan,

tetapi dari segi kenyamanan dan harga yang ditawarkan.

Banyak perangkat mobile yang berbeda-beda yang

menggunakan sistem operasi Android dengan bermacam-

macam teknologi yang ada didalamnya. Oleh karena itu

dalam proses recovery data yang ada di dalam memori

internal atau eksternal perangkat tersebut berbeda-beda

dalam segi penyelesaiannya. Dan dalam hal ini focus

yang ditujukan memori internal dan eksternal pada

perangkat smartphone Nexian NX-A891 dengan sistem

operasi Android Froyo 2.2.2 yang sudah di root. Data file

image yang ada didalam memori internal atau eksternal

yang ada di dalam perangkat tersebut di ekstrak ke dalam

image dengan menggunakan USB image tools dan dd

command. Setelah itu ekstrak file tersebut dengan Files

Scavenger dan kemudian bandingkan dengan

menggunakan JPEGNoob apakah file tersebut sama

dengan file sebelum dihapus.

Keywords: android, forensik,memori,recovery

1 Pendahuluan

Smartphone dalam perkembangannya menjadi suatu

perangkat yang banyak digunakan oleh orang, banyak

orang menggunakannya untuk kebutuhan komunikasi

ataupun sebagai perangkat pengganti komputer dalam

pekerjaan sehari-hari, popularitas smartphone juga

meningkat seiring pesatnya perkembangan smartphone

itu sendiri. Tak terkecuali sistem operasi Android yang

cepat memperoleh pangsa pasar yang besar dan sedang

digunakan pada berbagai macam perangkat, termasuk

smartphone dan tablet. Ada kebutuhan besar untuk dapat

mengekstrak dan menganalisis recovery data dari

perangkat android, misalnya pada file gambar. Tetapi,

karena perangkat ini merupakan teknologi yang baru, ada

kekurangan informasi tentang bagaimana untuk

melakukan recovery data tersebut.

Setiap perangkat mungkin memiliki kebutuhan yang

berbeda untuk mengakses, ekstrak, recovery, dan

menganalisis data. Penelitian dilakukan menggunakan

Nexian NX-A891 Sistem Operasi Android Froyo 2.2.2,

untuk menentukan suatu proses untuk melakukan

recovery data internal dan eksternal untuk perangkat ini,

dilakukan penelitian untuk melakukan recovery di

perangkat ini.

Penelitian yang dilakukan untuk merecovery data

image yang terdapat di dalam memory internal dan

eksternal yang ada di dalam smartphone Android Nexian

NX-A891 Froyo 2.2.2 yaitu pertama kali yang dilakukan

adalah menformat data yang ada di perangkat tersebut,

kemudian dengan USB image tools dan dd command

untuk mendapatkan file tersebut, lalu diekstrak keduanya

dengan files scavenger dan bandingkan dengan

JPEGNoob. Hasil recovery dari kedua cara tersebut akan

dibandingkan satu sama lain, jika hasilnya sama berarti

penelitian sukses dilakukan.

2 Teori dasar

2.1 Android

Sejak adanya perangkat mobile, dan Smartphone

khususnya, teknologi perangkat mobile telah berkembang

pesat yaitu tidak hanya sebagai alat komunikasi seluler

tetapi juga digunakan sebagai alat komputasi seperti

Laptop dan Notebook. Platform Google Android

merupakan platform open source yang dirancang untuk

perangkat mobile seperti Smartphone dan Tablet. Android

juga mencakup sistem operasi yang berbasis Linux,

kernel 2.6 middleware untuk memfasilitasi fitur seperti

pemrograman dan aplikasi kunci. Dalam hal penjualan

smartphone di pasar dunia, smartphone Android menjadi

smartphone favorit yang dibeli oleh orang di pangsa

pasar, dengan 50% dari penjualan smartphone secara

keseluruhan mengalahkan Apple dengan 25%.

Dengan perangkat Android, terdapat empat

sumber didalamnya: penyimpanan internal, SD card,

RAM, dan kartu SIM. Dalam penelitian ini, fokus kami

adalah recovery data pada penyimpanan internal eksternal

khusunya SD card. Dan perangkat Android yang kita

gunakan adalah Nexian NX-A891 dengan sistem operasi

Froyo 2.2.2.

2.2 Memori Eksternal

Memory Eksternal adalah memori tambahan yang

berfungsi untuk menyimpan data atau program. Dengan

kata lain memory ini termasuk perangkat keras untuk

melakukan operasi penulisan, pembacaan dan

penyimpanan data, di luar memori utama. Misal di dalam

smartphone Android adalah SD card. Pada dasarnya

konsep dasar memori eksternal adalah Menyimpan data

bersifat tetap (non volatile), baik pada saat komputer aktif

atau tidak.

Memori eksternal mempunyai dua fungsi utama

yaitu sebagai penyimpan permanen untuk membantu

fungsi RAM dan yang untuk mendapatkan memori murah

yang berkapasitas tinggi bagi penggunaan jangka

panjang.

2.3 Memori Internal

Memory Internal adalah Memori yang dapat diakses

secara langsung oleh prosesor. Memori internal memiliki

fungsi sebagai pengingat. Dalam hal ini yang disimpan di

dalam memori utama dapat berupa data atau program.

Secara lebih rinci, fungsi dari memori utama adalah :

Menyimpan data yang berasal dari peranti masukan

sampai data dikirim ke ALU (Arithmetic and Logic Unit)

untuk diproses Menyimpan daya hasil pemrosesan ALU

sebelum dikirimkan ke peranti keluaran Menampung

program/instruksi yang berasal dari peranti masukan atau

dari peranti pengingat sekunder. Ada dua jenis memory

ROM dan RAM.

3 Implementasi dari forensik perangkat

android

3.1 Menyiapkan Android untuk rooting.

Untuk melakukan rooting pada Android (khususnya

Android 2.2), dapat menggunakan aplikasi

SuperOneClick[shotfuse.org]. Sebelum menggunakan

SuperOneClick, tools lain yang wajib dimiliki adalah

Android Development Tools (ADB) dan driver dari

masing-masing ponsel. Driver dibutuhkan agar ADB

dapat digunakan pada komputer, karena setiap ponsel

mungkin berbeda – beda, ada yang memerlukan driver

agar ADB bisa digunakan, ada juga yang bisa langsung

menggunakan ADB tanpa harus menginstall driver pada

komputer terlebih dahulu. Untuk memastikan

ketersediaan ponsel (apakah ADB dapat dijalankan),

dapat dilakukan pengujian dengan mengetikkan pada

command line: adb devices.

Gambar 3.1 perangkat android yang terdeteksi

Jika perangkat sudah dapat dideteksi pada output,

maka tahapan selanjutnya adalah menggunakan

SuperOneClick. Menggunakan SuperOneClick relatif

mudah, untuk melakukan rooting yang perlu dilakukan

adalah klik tombol ‘Root’ seperti gambar di bawah ini:

Gambar 3.2 penggunaan SuperOneClick

Jika proses root telah selesai, untuk mengetahui

apakah perangkat berhasil dirooting atau tidak adalah

dengan mengetikkan pada command-line perintah

berikut: adb shell su. Keluaran yang dihasilkan jika

proses rooting berhasil adalah sebagai berikut:

Gambar 3.3 melihat Android yang telah di root

3.2 Membuat image dari memori internal

menggunakan perintah dd

File sistem utama Android disimpan di beberapa

tempat berbeda di direktori /dev. Kernel Linux

menggunakan MTD agar bisa berjalan langsung pada

embedded system (memori flash). Biasanya terdapat 6 file

utama yang terdapat pada /dev/mtd, yaitu:

Mtd0 biasanya digunakan Android untuk

menangani beranekaragam tugas.

Mtd1 digunakan sebagai image recovery

Mtd2 mengandung partisi untuk boot.

Mtd3 mengandung file sistem

Mtd4 menampung cache

Mtd5 menampung data pengguna.

Meskipun setiap file penting untuk dibuat berkas

image – nya, sebagian besar penelitian yang dilakukan

berfokus pada block mtd3 dan mtd5 (untuk

mempermudah percobaan serta data-data penting

biasanya terdapat dalam blok memori ini). dd command

memerlukan lingkungan shell serta privilege root untuk

bisa dijalankan pada terminal.

Dd command mempunyai 3 parameter utama,

yaitu input file(if), output file(of), dan byte size(bs). Input

file menspesifikasikan di mana path yang akan dibuat

image file-nya. Output file menspesifikasikan nama file

atau path yang akan menjadi nama file image nya.

Sedangkan byte size adalah berapa banyak atau jumlah

byte yang dibaca, ditulis atau dikonversi dalam satu

waktu. Berikut ini cara menggunakan perintah dd:

Gambar 3.4 Menjalankan perintah dd

Yang perlu diperhatikan adalah perintah tersebut

langsung mengarahkan keluarannya ke memori eksternal

(kartu memori). Untuk alasan tersebut, alangkah lebih

baik jika kartu memori yang digunakan harus benar-benar

kosong atau bila masih berisi, isi dari kartu memori

tersebut di pindahkan terseblih dahulu ke harddisk atau

media penyimpanan lainnya, lalu memori eksternal

tersebut di sapu bersih (wipe). Sebagai tambahan,

diperlukan kehati-hatian dalam menulis path input dan

output (if dan of), karena jika tidak atau salah tulis bisa

menulis ulang (overwrite) path file system.

3.3 Membuat image dari eksternal memori

dengan USB image tool

Banyak tool untuk membuat file image dari

eksternal memory. Eksternal memory pada device

android seperti halnya flashdisk dan ssd. Dari sekian

banyak tool tersebut, USB Image tools merupakan salah

satu tool yang bagus untuk digunakan karena ringan,

mudah digunakan dan dapat melakukan hashing dengan

md5. Sehingga hasil file image dapat dicek keasliannya

dengan memory dengan mengecek nilai hashnya. Riset

ini bertujuan untuk membuktikan apakah file bisa

direcover dengan baik tanpa menghilangkan informasi

yang ada. Oleh karena itu, prinsip-prinsip dan prosedur-

prsedur dalam forensik juga harus diterapkan dalam riset

ini. Dan skenario dalam riset ini adalah :

1. Wipe SD card untuk testing

2. Mengopi file yang akan dilakukan forensik ke sd

card. Dalam hal ini adalah file jpeg.

3. Membuat file image dari sd card dengan

menggunakan usb image tool.

4. Menghapus file dengan aplikasi local pada

android. Yaitu ES file explorer.

5. Mengekstrak semua file dari image dengan

menggunakan tool Files Scavenger.

6. Membandingkan hasil dari file asli dan file

ekstraksi hasil forensik dengan Jpegnoob.

7. Jika hasilnya sama, proses recovery telah

berhasil

4 Hasil eksperimen

Hasil percobaan dengan menggunakan android 2.2(froyo)

dengan identifikasi device sebagai berikut

Gambar 4.1 identifikasi perangkat

Gambar 4.2 spesifikasi perangkat

Dari eksternal memory, dibuat file image yang

merupakan bit by bit copy dari eksternal momory dengan

usb image tool.

Gambar 4.3 USB image tool

Hasil forensik dari eksperimen ini adalah file

jpeg yang telah dihapus dengan menggunakan aplikasi

local di android mampu di recovery dengan

menggunakan file scavenger.

Gambar 4.4 file sebelumrecovery

Gambar 4.5 file pada proses recovery

Gambar 4.6 analisa pada file asli

Gambar 4.7 analisa pada file hasil forensik

Analisa hasil forensik dan file asli dengan

menggunakan jpeg noob didapat hasil seperti diatas. Dari

hasil tersebut, dapat dianalisa bahwa hasil forensik dan

file asli memiliki karakteristik yang sama diantaranya

nilai offset, identifier, length, endian, dan panjang

direktori. Dapat disimpulkan bahwa kedua file adalah

sama dan proses forensik tersebut berhasil karena tidak

menghilangkan informasi yang ada pada barang bukti

5 Kesimpulan

Penghapusan barang bukti pada memori di

perangkat android dapat dilakukan recovery karena pada

dasarnya menghapus file pada suatu memori, sistem tidak

akan menghapus secara fisik dan hanya melabeli bit-bit

file dengan label dihapus. Sehingga dengan berbagai

metode dan tool, suatu file yang telah dihapus dapat

dikembalikan lagi. Dan pada proses forensik, berbagai

prinsip dan prosedur yang menjadi SOP harus

dilaksanakan untuk memberikan validitas pada suatu

barang bukti. Beberapa diantaranya adalah pelaku

forensik tidak boleh mengubah barang bukti asli sehingga

harus menggunakan file kopi atau image dari barang

bukti. Pelaku forensik juga tidak boleh merusak atau

menghancurkan barang bukti. Dan tolak ukur dari

keberhasilan proses recovery adalah barang atau file hasil

recovery harus sama dengan barang atau file asli. Pada

forensik di perangkat android, recovery file dari eksternal

memori dapat dilakukan dengan mudah, tetapi recovery

pada internal memori sangat sulit dilakukan karena

system operasi android akan menghapus data secara

permanen atau wipe data pada internal memori jika ada

suatu file yang dihapus.

Referensi

[1]Hoog, A. (2011, June). Geeks Guide to Digital

Forensics. Retrieved

fromhttp://viaforensics.com/computer-

forensics/google-tech-talk-geeks-guide-to-digital-

forensics-june-2011.html

[2]Lessard, J., & Kessler, G. C. (2010). Android

Forensics: Simplifying Cell Phone Examinations.

Small Scale

[3]Digital Device Forensics Journal, 4(1). Manning, C.

(2002, September). YAFFS: the NAND-specific flash

file system - Introductory Article | YAFFS.

[4]Retrieved October 12, 2011, from

http://www.yaffs.net/yaffs-nand-specific-flash-file-

system-introductory-article

[5]Manning, C. (2006, July). YAFFS Direct User Guide |

YAFFS. Retrieved October 12, 2011, from

http://www.yaffs.net/yaffs-direct-user-guide

[6]Mtdutils - Texas Instruments Embedded Processors

Wiki. (2009, March). Retrieved October 12, 2011,

from http://processors.wiki.ti.com/index.php/Mtdutils

[7]Myers, D. (2008, February). On the Use of NAND

Flash Memory inHigh-Performance Relational

Databases. Retrieved from

http://people.csail.mit.edu/dsm/flash-thesis.pdf

[8]SuperOneClick. (2010). Retrieved October 12, 2011,

from http://forum.xda-

developers.com/showthread.php?t=803682 U.S.

Smartphone Market: Who’s the Most Wanted? (2011,

March). Retrieved October 12, 2011, from

http://blog.nielsen.com/nielsenwire/?p=27418