Android forensik
-
Upload
caisar-oentoro -
Category
Technology
-
view
843 -
download
9
description
Transcript of Android forensik
Forensik Gambar Digital pada Perangkat Android
Muhammad Abdul Jafar Sidiq(113091011), Caisar Oentoro(113090064),
Dafiz Adi Nugroho(113090005)
Fakultas Informatika
Institut Teknologi Telkom
Bandung, Indonesia
[email protected],[email protected],[email protected]
Abstraksi
Seiring perkembangan teknologi telekomunikasi
dan seluler, perangkat mobile seperti smartphone dengan
sistem operasi Android sekarang sudah menjadi tren
perangkat mobile dikalangan masyarakat di dunia. Tidak
hanya dari segi fitur dan kecanggihan yang ditawarkan,
tetapi dari segi kenyamanan dan harga yang ditawarkan.
Banyak perangkat mobile yang berbeda-beda yang
menggunakan sistem operasi Android dengan bermacam-
macam teknologi yang ada didalamnya. Oleh karena itu
dalam proses recovery data yang ada di dalam memori
internal atau eksternal perangkat tersebut berbeda-beda
dalam segi penyelesaiannya. Dan dalam hal ini focus
yang ditujukan memori internal dan eksternal pada
perangkat smartphone Nexian NX-A891 dengan sistem
operasi Android Froyo 2.2.2 yang sudah di root. Data file
image yang ada didalam memori internal atau eksternal
yang ada di dalam perangkat tersebut di ekstrak ke dalam
image dengan menggunakan USB image tools dan dd
command. Setelah itu ekstrak file tersebut dengan Files
Scavenger dan kemudian bandingkan dengan
menggunakan JPEGNoob apakah file tersebut sama
dengan file sebelum dihapus.
Keywords: android, forensik,memori,recovery
1 Pendahuluan
Smartphone dalam perkembangannya menjadi suatu
perangkat yang banyak digunakan oleh orang, banyak
orang menggunakannya untuk kebutuhan komunikasi
ataupun sebagai perangkat pengganti komputer dalam
pekerjaan sehari-hari, popularitas smartphone juga
meningkat seiring pesatnya perkembangan smartphone
itu sendiri. Tak terkecuali sistem operasi Android yang
cepat memperoleh pangsa pasar yang besar dan sedang
digunakan pada berbagai macam perangkat, termasuk
smartphone dan tablet. Ada kebutuhan besar untuk dapat
mengekstrak dan menganalisis recovery data dari
perangkat android, misalnya pada file gambar. Tetapi,
karena perangkat ini merupakan teknologi yang baru, ada
kekurangan informasi tentang bagaimana untuk
melakukan recovery data tersebut.
Setiap perangkat mungkin memiliki kebutuhan yang
berbeda untuk mengakses, ekstrak, recovery, dan
menganalisis data. Penelitian dilakukan menggunakan
Nexian NX-A891 Sistem Operasi Android Froyo 2.2.2,
untuk menentukan suatu proses untuk melakukan
recovery data internal dan eksternal untuk perangkat ini,
dilakukan penelitian untuk melakukan recovery di
perangkat ini.
Penelitian yang dilakukan untuk merecovery data
image yang terdapat di dalam memory internal dan
eksternal yang ada di dalam smartphone Android Nexian
NX-A891 Froyo 2.2.2 yaitu pertama kali yang dilakukan
adalah menformat data yang ada di perangkat tersebut,
kemudian dengan USB image tools dan dd command
untuk mendapatkan file tersebut, lalu diekstrak keduanya
dengan files scavenger dan bandingkan dengan
JPEGNoob. Hasil recovery dari kedua cara tersebut akan
dibandingkan satu sama lain, jika hasilnya sama berarti
penelitian sukses dilakukan.
2 Teori dasar
2.1 Android
Sejak adanya perangkat mobile, dan Smartphone
khususnya, teknologi perangkat mobile telah berkembang
pesat yaitu tidak hanya sebagai alat komunikasi seluler
tetapi juga digunakan sebagai alat komputasi seperti
Laptop dan Notebook. Platform Google Android
merupakan platform open source yang dirancang untuk
perangkat mobile seperti Smartphone dan Tablet. Android
juga mencakup sistem operasi yang berbasis Linux,
kernel 2.6 middleware untuk memfasilitasi fitur seperti
pemrograman dan aplikasi kunci. Dalam hal penjualan
smartphone di pasar dunia, smartphone Android menjadi
smartphone favorit yang dibeli oleh orang di pangsa
pasar, dengan 50% dari penjualan smartphone secara
keseluruhan mengalahkan Apple dengan 25%.
Dengan perangkat Android, terdapat empat
sumber didalamnya: penyimpanan internal, SD card,
RAM, dan kartu SIM. Dalam penelitian ini, fokus kami
adalah recovery data pada penyimpanan internal eksternal
khusunya SD card. Dan perangkat Android yang kita
gunakan adalah Nexian NX-A891 dengan sistem operasi
Froyo 2.2.2.
2.2 Memori Eksternal
Memory Eksternal adalah memori tambahan yang
berfungsi untuk menyimpan data atau program. Dengan
kata lain memory ini termasuk perangkat keras untuk
melakukan operasi penulisan, pembacaan dan
penyimpanan data, di luar memori utama. Misal di dalam
smartphone Android adalah SD card. Pada dasarnya
konsep dasar memori eksternal adalah Menyimpan data
bersifat tetap (non volatile), baik pada saat komputer aktif
atau tidak.
Memori eksternal mempunyai dua fungsi utama
yaitu sebagai penyimpan permanen untuk membantu
fungsi RAM dan yang untuk mendapatkan memori murah
yang berkapasitas tinggi bagi penggunaan jangka
panjang.
2.3 Memori Internal
Memory Internal adalah Memori yang dapat diakses
secara langsung oleh prosesor. Memori internal memiliki
fungsi sebagai pengingat. Dalam hal ini yang disimpan di
dalam memori utama dapat berupa data atau program.
Secara lebih rinci, fungsi dari memori utama adalah :
Menyimpan data yang berasal dari peranti masukan
sampai data dikirim ke ALU (Arithmetic and Logic Unit)
untuk diproses Menyimpan daya hasil pemrosesan ALU
sebelum dikirimkan ke peranti keluaran Menampung
program/instruksi yang berasal dari peranti masukan atau
dari peranti pengingat sekunder. Ada dua jenis memory
ROM dan RAM.
3 Implementasi dari forensik perangkat
android
3.1 Menyiapkan Android untuk rooting.
Untuk melakukan rooting pada Android (khususnya
Android 2.2), dapat menggunakan aplikasi
SuperOneClick[shotfuse.org]. Sebelum menggunakan
SuperOneClick, tools lain yang wajib dimiliki adalah
Android Development Tools (ADB) dan driver dari
masing-masing ponsel. Driver dibutuhkan agar ADB
dapat digunakan pada komputer, karena setiap ponsel
mungkin berbeda – beda, ada yang memerlukan driver
agar ADB bisa digunakan, ada juga yang bisa langsung
menggunakan ADB tanpa harus menginstall driver pada
komputer terlebih dahulu. Untuk memastikan
ketersediaan ponsel (apakah ADB dapat dijalankan),
dapat dilakukan pengujian dengan mengetikkan pada
command line: adb devices.
Gambar 3.1 perangkat android yang terdeteksi
Jika perangkat sudah dapat dideteksi pada output,
maka tahapan selanjutnya adalah menggunakan
SuperOneClick. Menggunakan SuperOneClick relatif
mudah, untuk melakukan rooting yang perlu dilakukan
adalah klik tombol ‘Root’ seperti gambar di bawah ini:
Gambar 3.2 penggunaan SuperOneClick
Jika proses root telah selesai, untuk mengetahui
apakah perangkat berhasil dirooting atau tidak adalah
dengan mengetikkan pada command-line perintah
berikut: adb shell su. Keluaran yang dihasilkan jika
proses rooting berhasil adalah sebagai berikut:
Gambar 3.3 melihat Android yang telah di root
3.2 Membuat image dari memori internal
menggunakan perintah dd
File sistem utama Android disimpan di beberapa
tempat berbeda di direktori /dev. Kernel Linux
menggunakan MTD agar bisa berjalan langsung pada
embedded system (memori flash). Biasanya terdapat 6 file
utama yang terdapat pada /dev/mtd, yaitu:
Mtd0 biasanya digunakan Android untuk
menangani beranekaragam tugas.
Mtd1 digunakan sebagai image recovery
Mtd2 mengandung partisi untuk boot.
Mtd3 mengandung file sistem
Mtd4 menampung cache
Mtd5 menampung data pengguna.
Meskipun setiap file penting untuk dibuat berkas
image – nya, sebagian besar penelitian yang dilakukan
berfokus pada block mtd3 dan mtd5 (untuk
mempermudah percobaan serta data-data penting
biasanya terdapat dalam blok memori ini). dd command
memerlukan lingkungan shell serta privilege root untuk
bisa dijalankan pada terminal.
Dd command mempunyai 3 parameter utama,
yaitu input file(if), output file(of), dan byte size(bs). Input
file menspesifikasikan di mana path yang akan dibuat
image file-nya. Output file menspesifikasikan nama file
atau path yang akan menjadi nama file image nya.
Sedangkan byte size adalah berapa banyak atau jumlah
byte yang dibaca, ditulis atau dikonversi dalam satu
waktu. Berikut ini cara menggunakan perintah dd:
Gambar 3.4 Menjalankan perintah dd
Yang perlu diperhatikan adalah perintah tersebut
langsung mengarahkan keluarannya ke memori eksternal
(kartu memori). Untuk alasan tersebut, alangkah lebih
baik jika kartu memori yang digunakan harus benar-benar
kosong atau bila masih berisi, isi dari kartu memori
tersebut di pindahkan terseblih dahulu ke harddisk atau
media penyimpanan lainnya, lalu memori eksternal
tersebut di sapu bersih (wipe). Sebagai tambahan,
diperlukan kehati-hatian dalam menulis path input dan
output (if dan of), karena jika tidak atau salah tulis bisa
menulis ulang (overwrite) path file system.
3.3 Membuat image dari eksternal memori
dengan USB image tool
Banyak tool untuk membuat file image dari
eksternal memory. Eksternal memory pada device
android seperti halnya flashdisk dan ssd. Dari sekian
banyak tool tersebut, USB Image tools merupakan salah
satu tool yang bagus untuk digunakan karena ringan,
mudah digunakan dan dapat melakukan hashing dengan
md5. Sehingga hasil file image dapat dicek keasliannya
dengan memory dengan mengecek nilai hashnya. Riset
ini bertujuan untuk membuktikan apakah file bisa
direcover dengan baik tanpa menghilangkan informasi
yang ada. Oleh karena itu, prinsip-prinsip dan prosedur-
prsedur dalam forensik juga harus diterapkan dalam riset
ini. Dan skenario dalam riset ini adalah :
1. Wipe SD card untuk testing
2. Mengopi file yang akan dilakukan forensik ke sd
card. Dalam hal ini adalah file jpeg.
3. Membuat file image dari sd card dengan
menggunakan usb image tool.
4. Menghapus file dengan aplikasi local pada
android. Yaitu ES file explorer.
5. Mengekstrak semua file dari image dengan
menggunakan tool Files Scavenger.
6. Membandingkan hasil dari file asli dan file
ekstraksi hasil forensik dengan Jpegnoob.
7. Jika hasilnya sama, proses recovery telah
berhasil
4 Hasil eksperimen
Hasil percobaan dengan menggunakan android 2.2(froyo)
dengan identifikasi device sebagai berikut
Gambar 4.1 identifikasi perangkat
Gambar 4.2 spesifikasi perangkat
Dari eksternal memory, dibuat file image yang
merupakan bit by bit copy dari eksternal momory dengan
usb image tool.
Gambar 4.3 USB image tool
Hasil forensik dari eksperimen ini adalah file
jpeg yang telah dihapus dengan menggunakan aplikasi
local di android mampu di recovery dengan
menggunakan file scavenger.
Gambar 4.4 file sebelumrecovery
Gambar 4.5 file pada proses recovery
Gambar 4.6 analisa pada file asli
Gambar 4.7 analisa pada file hasil forensik
Analisa hasil forensik dan file asli dengan
menggunakan jpeg noob didapat hasil seperti diatas. Dari
hasil tersebut, dapat dianalisa bahwa hasil forensik dan
file asli memiliki karakteristik yang sama diantaranya
nilai offset, identifier, length, endian, dan panjang
direktori. Dapat disimpulkan bahwa kedua file adalah
sama dan proses forensik tersebut berhasil karena tidak
menghilangkan informasi yang ada pada barang bukti
5 Kesimpulan
Penghapusan barang bukti pada memori di
perangkat android dapat dilakukan recovery karena pada
dasarnya menghapus file pada suatu memori, sistem tidak
akan menghapus secara fisik dan hanya melabeli bit-bit
file dengan label dihapus. Sehingga dengan berbagai
metode dan tool, suatu file yang telah dihapus dapat
dikembalikan lagi. Dan pada proses forensik, berbagai
prinsip dan prosedur yang menjadi SOP harus
dilaksanakan untuk memberikan validitas pada suatu
barang bukti. Beberapa diantaranya adalah pelaku
forensik tidak boleh mengubah barang bukti asli sehingga
harus menggunakan file kopi atau image dari barang
bukti. Pelaku forensik juga tidak boleh merusak atau
menghancurkan barang bukti. Dan tolak ukur dari
keberhasilan proses recovery adalah barang atau file hasil
recovery harus sama dengan barang atau file asli. Pada
forensik di perangkat android, recovery file dari eksternal
memori dapat dilakukan dengan mudah, tetapi recovery
pada internal memori sangat sulit dilakukan karena
system operasi android akan menghapus data secara
permanen atau wipe data pada internal memori jika ada
suatu file yang dihapus.
Referensi
[1]Hoog, A. (2011, June). Geeks Guide to Digital
Forensics. Retrieved
fromhttp://viaforensics.com/computer-
forensics/google-tech-talk-geeks-guide-to-digital-
forensics-june-2011.html
[2]Lessard, J., & Kessler, G. C. (2010). Android
Forensics: Simplifying Cell Phone Examinations.
Small Scale
[3]Digital Device Forensics Journal, 4(1). Manning, C.
(2002, September). YAFFS: the NAND-specific flash
file system - Introductory Article | YAFFS.
[4]Retrieved October 12, 2011, from
http://www.yaffs.net/yaffs-nand-specific-flash-file-
system-introductory-article
[5]Manning, C. (2006, July). YAFFS Direct User Guide |
YAFFS. Retrieved October 12, 2011, from
http://www.yaffs.net/yaffs-direct-user-guide
[6]Mtdutils - Texas Instruments Embedded Processors
Wiki. (2009, March). Retrieved October 12, 2011,
from http://processors.wiki.ti.com/index.php/Mtdutils
[7]Myers, D. (2008, February). On the Use of NAND
Flash Memory inHigh-Performance Relational
Databases. Retrieved from
http://people.csail.mit.edu/dsm/flash-thesis.pdf
[8]SuperOneClick. (2010). Retrieved October 12, 2011,
from http://forum.xda-
developers.com/showthread.php?t=803682 U.S.
Smartphone Market: Who’s the Most Wanted? (2011,
March). Retrieved October 12, 2011, from
http://blog.nielsen.com/nielsenwire/?p=27418