(Digital Imaging) FTK Imager Windows Base
FTK Imager adalah sebuah tool yang digunakan untuk meng-akuisisi atau melakukan imaging suatu file, direktori, partisi atau physical disk untuk keperluan forensik. Dengan menggunakan FTK Imager, data yang diakuisisi akan terjamin keasliannya. File master FTK Imager dapat di download di http://www.accessdata.com/support/product-downloads kemudian lakukan instalasi FTK Imager di komputer
1.
Buka aplikasi FTK Imager
yang sudah di-install . Klik Start à All
Programs àAccess Data à FTK
Imager. Atau lewat shortcut di Desktop jika ada.
Gambar 1 FTK Imager
Gambar 2 Tampilan FTK Imager 3.1.20
2.
Pilih menu File à Create
Disk Image…
Gambar 3 Create Disk Image
3.
Pilih Physical Drive,
kemudian klik Next.
Gambar 4 Pilih Physical Drive
4. Pilih
device yang akan dibuat physical image-nya. Dalam hal ini, pilih
flashdisk yang tadi sudah terbaca sistem, kemudian klik tombol Finish
Gambar 5 Pilih Device
5. Atur
setting destination folder dengan klik tombol Add. Lalu pilih
format Raw (dd) agar hasilnya sama dengan hasil pada praktikum linux
yang juga menggunakan format raw. Klik tombol Next.
Gambar 6 Setting Destination Folder
6.
Isikan informasi tambahan, sesuaikan dengan kondisi
praktikum. Klik tombol Next.
Gambar 7 Evidence Item Information
7.
Pilih destination folder dengan klik tombol Browse.
Dalam hal ini dipilihlah Desktop sebagai destination folder agar
lebih memudahkan Klik tombol OK. Kemudian isikan nama file image
berikut ekstensi file-nya. Pada praktikum kali ini, nama file yang digunakan
adalah Hasil.dd. Isikan angka 0
(nol) pada bagian Image Fragment Size agar hasil imaging tidak
dipecah-pecah menjadi beberapa file.
Gambar 8 Image Destination Folder
8.
Klik tombol Finish.
Gambar 9 Klik Finish
9.
Nanti akan muncul window berisi informasi destination
folder. Klik tombol Start.
Gambar 10 Start Create Image
10. Tunggu
progress-nya sampai proses imaging selesai.
Gambar 11 Creating Image Progress
11. Setelah
selesai proses imaging, akan muncul window verifikasi (integrity
check) file image apakah telah sama persis nilai hash-nya
dengan yang asli.
12. Setelah
dilakukan verifikasi file, hasil akhirnya akan muncul pada sebuah window
yang berisi nilai hash dan kecocokan nilai hash file image
dengan aslinya. Silakan diamati, jika sudah OK, klik tombol Close.
Gambar 12 Drive/Image Verify Results
13. Setelah
itu, akan muncul window notifikasi bahwa proses imaging telah
berhasil. Klik tombol Close.
Gambar 13 Image Created Successfully
14. Setelah Proses Create Image selesai, klik Image Summary untuk
melihat informasi file, termasuk MD5 dan SHA1 checksums
15. Proses
physical imaging terhadap flashdisk telah berhasil dilakukan. Sekarang
saatnya mengecek file image yang tadi sudah di-setting agar destination
folder-nya ada di Desktop.
16. Cek
file image bernama Hasil.dd. Nanti akan ditemukan 2 file, yaitu 1
file image dan 1 file teks (berisi informasi proses imaging dan
hasil verifikasi/integrity check). Pilih file image, klik kanan à Properties untuk melihat size file image-nya.
17. Kemudian
akan muncul window berupa informasi mengenai size dari file image
hasil.dd tersebut. Bandingkan size file image dengan kapasitas
flashdisk yang telah dicek pada awal praktikum ini.
A. Proses
Evidence
Proses selanjutnya adalah
mounting image barang bukti digital dari image yang telah dibuat.
1.
Klik menu File à
Add Evidence Item
2.
Kemudian muncul select Source, pilih tipe Image File,
dan klik Next
3. Selanjutnya
pilih lokasi file image, dan klik Finish
4.
Setelah dimount maka akan muncul jumlah partisi serta
file yang nantinya dapat dilakukan analisa
5. Dari hasil mounting image, maka dapat dilihat profil user
yang ada di dalam drive tersebut, dan isi filenya dapat kita ambil.
6. Pilih file yang akan dianalisa kemudian pilih export files
7. Selanjutnya Pilih lokasi file akan diexport
8. Export sukses! Dan klik OK
9. File sudah diexport ke lokasi yang ditentukan
10. Perfect copy berhasil, metadata dari file yang akan dianalisa
masih sesuai data yang asli