Akuisisi merupakan proses pengelolaan barang bukti digital yang terkait dengan media penyimpanan seperti harddisk, Flash Disk, CD dan lain lain. Proses ini dilakukan untuk mengekstraksi dan menduplikasi barang bukti yang ditemukan guna sebagai objek analisis agar barang bukti yang ditemukan tidak rusak serta integritas barang bukti tetap terjaga.
1. Persiapan
Dalam tahap akuisisi terdapat beberapa tools yang dapat digunakan seperti FTK imager, Bitcorator dan lain sebaginya. Berikut adalah beberapa hal yang harus dipersiapkan sebelum melakukan akuisisi di antaranya:
- Obyek uji coba yaitu media penyimpanan yang akan di akuisisi yaitu Flash Disk,
- USB Write Blocker adalah beberapa mekanisme fisik yang dapat mencegah modifikasi atau penghapusan data-data berharga pada perangka USB Flash Driver. Download disini
- FTK Imager adalah salah satu tools yang dapat digunakan untuk mengakuisisi atau melakukan imaging suatu file, direktori, partisi atau physical disk untuk keperluan forensik. Download disini
2. Proses Akuisisi
Langkah pertama yang harus dilakukan yaitu instalasi tools yang akan digunakan yaitu FTK Imager. Karena USB Writer Blocker yang digunakan saat ini tidak membutuhkan instalasi maka setelah proses instalasi selesai buka aplikasi USB Writer Blocker terlebih dahulu. Berikut adalah tampilan dari USB Writer Blocker seperti tampak pada Gambar 1.
Pada tampilan utama USB Write Blocker ini terdapat 2 opsi yang dapat dipilih yaitu enable the USB Write Blocker dan disable USB Write Blocker. Fungsi dari pilihan pertama yaitu menjalankan proses pencegahan terhadap proses modifikasi konten yang tersimpan dalam media penyimpan seperti menambah, mengurangi atau merubah isi dari USB sedangkan pilihan kedua yaitu sebaliknya.
Selanjutnya pilih opsi yang pertama untuk dapat melanjutkan proses akuisisi. Berikut adalah tampilan dari USB Write Blocker setelah memilih opsi pertama seperti tampak pada Gambar 2.
Setelah USB Write Blocker aktif kemudian barang bukti dapat di colokkan ke Port USB yang tersedia di komputer. Setelah itu buka aplikasi FTK Imager untuk dapat melakukan proses akuisisi. Berikut adalah tampilan utama dari aplikasi FTK Imager sepeti tampak pada Gambar 3.
Setelah aplikasi FTK Imager terbuka selanjutnya pilih menu File kemudian pilih Create Disk Image seperti tampak pada Gambar 4.
Setelah itu aplikasi akan menampilkan opsi imaging yang dapat digunkan seperti Physical Driver, Logical Driver, Image File, Contents of a Folder dan Femico Device (multiple CD/DVD). Seperti tampak pada Gambar 5.
Pada uji coba kali ini kita akan melakukan 2 proses imaging yaitu Physical dan Logical Acquisition.
- Physical Acquisition
Pada Gambar 5 terdapat opsi physical driver, setelah memilih opsi physical driver kemudian klik tombol next dan akan tampil pilihan media penyimpanan yang akan di akuisisi. Seperti tampak pada Gambar 6.
Setelah itu pilih PHYSICALDRIVER1 karena kita akan mengakuisisi Flash Disk. Berikut adalah tampilan setelah menekan tombol Finish seperti tampak pada Gambar 7.
Pilih tombol Add untuk memilih ekstensi file hasil dari proses akuisisi, formulir informasi dan lokasi hasil dari proses akuisisi dari barang bukti yang di akuisisi seperti tampak pada Gambar 8, 9 dan 10.
Dalam Gambar 10 tampak Image Destination Folder (lokasi penyimpanan hasil akuisisi), image filename (nama file akuisisi). Catatan yang harus di ingat adalah pilih lokasi penyimpanan hasil akuisisi yang lebih besar dari volume yang akan di akuisisi, dan pada opsi Image Fragment Size, isikan dengan nilai 0 agar hasil dari proses akuisisi tidak terpecah (split) menjadi beberapa bagian. Misalkan jika Anda mengisi 1024, maka file hasil akuisisi akan berjumlah 8 dan seterusnya. kemudian klik tombol Finish. Kemudian klik tombol start untuk memulai proses akuisisi seperti tampak pada Gambar 11.
Kemudian tunggu hingga proses imaging selesai seperti tampak pada Gambar 12.
- Logical Acquisition
Seperti pada Gambar 5 terdapat opsi Logical driver, setelah memilih opsi Logical driver kemudian klik tombol next dan akan tampil pilihan media penyimpanan atau drive yang akan di akuisisi. Seperti tampak pada Gambar 13.
Pada gambar di atas terdapat beberapa pilihan Drive seperti Drive C, D, E dan H. Karena Flash Disk terdapat pada Drive E maka kita akan memilih Drive E sebagai target akuisisi kemudian menekan tombol Finish. Setelah tombol Finish di klik kemudian aplikasi FTK Image akan menampilkan proses yang sama dengan proses physical driver seperti pada Gambar 7 sampai 11. Setelah itu tunggu sampai proses akuisisi selasai seperti tampak gambar 14.
3. Hasil Proses Physical acquisition dan Logical acquisition
Setelah proses Imaging berhasil dilakukan terdapat beberapa perbedaan yang terdapat pada metode physical dan logical acquisistion yaitu seperti tampak pada gambar 15 dan 16.
Gambar di atas adalah log informasi yang mencatat semua aktivitas yang dilakukan pada saat proses akuisisi. Log file BB-002-FTK.001 adalah log informasi hasil imaging dengan memilih source evidence berupa physical drive. Sedangkan log file image bernama BB-003-FTK.001 adalah log informasi hasil imaging dengan memilih source evidence berupa logical drive. Dari kedua log informasi di atas sudah di berikan kotak merah sebagai tanda bahwa ada perbedaan antara logical dan physical yaitu di bagian sector count dan source data size. Sector count dan source data size pada physiscal driver lebih besar dibandingkan dengan logical driver dan pada gambar 16.
Terlihat bahwa struktur cabang dari file image dengan nama BB-002-FTK.001 ada 2, yaitu Partition 1 dan Unpartitioned Space. Sedangkan pada file image bernama BB-003-FTK.001 yang tampak hanyalah partisi NONAME, pada setiap partisi memiliki folder [orphan] yaitu berisi file-file yang sebelumnya telah dihapus dari partisi tersebut dan pada folder [root] adalah berisikan file-file yang tersimpan pada barang bukti dan pada folder.
Digital Forensiku 