Di era digital ini, foto sering kali menjadi bukti kunci dalam berbagai investigasi. Namun, bagaimana jika gambar penting tersebut telah dihapus? Jangan panik. Dalam dunia forensik digital, ada alat canggih seperti Autopsy yang dapat membantu kita menggali jejak file yang terhapus, bahkan mengungkap informasi sensitif seperti lokasi pengambilan gambarnya.
Postingan blog ini akan memandu Anda melalui langkah-langkah dasar untuk melakukan investigasi forensik pada image disk menggunakan Autopsy, dengan fokus pada pemulihan dan analisis metadata dari gambar yang terhapus, khususnya data lokasi (Geo-location) yang sering tersimpan dalam EXIF Data.
Sebelumnya kita kenalan dulu dengan aplikasi forensik itu sendiri, Autopsy.
Apa itu Autopsy?
Autopsy adalah platform forensik digital sumber terbuka (open-source) yang sangat populer dan canggih. Secara sederhana, Autopsy berfungsi sebagai antarmuka grafis (GUI) yang mudah digunakan untuk The Sleuth Kit (TSK), yaitu koleksi alat baris perintah (command line tools) yang berfungsi untuk menganalisis image disk dan memulihkan file.
Persiapan Awal
Sebelum memulai, pastikan Anda telah memiliki:
Aplikasi Autopsy terinstal di sistem Anda.
- Disk Image (salinan forensik) dari perangkat penyimpanan (hard drive, flash drive, kartu memori) yang ingin Anda periksa. Penting: Selalu bekerja dengan salinan forensik, bukan perangkat aslinya.
3 Langkah Utama Mencari Lokasi Gambar Terhapus
Langkah 1: Memuat dan Menganalisis Disk Image di Autopsy
Buat Kasus Baru: Buka Autopsy dan buat kasus baru (New Case). Masukkan detail kasus yang relevan.
Tambahkan Sumber Data: Setelah kasus dibuat, tambahkan sumber data (Add Data Source). Pilih Disk Image or VM File dan arahkan ke file image disk Anda.
Proses Ingest: Autopsy akan mulai memproses image disk. Ini melibatkan berbagai modul analisis (Ingest Modules) seperti mencari file yang terhapus, mengekstrak metadata, dan mengindeks teks. Biarkan proses ini selesai.
Langkah 2: Mengidentifikasi File Gambar yang Terhapus
Setelah proses ingest selesai, Autopsy akan menyajikan hasil analisis yang terorganisir:
Navigasi ke File Terhapus: Di panel sebelah kiri, cari kategori File Views kemudian Deleted Files.
Filter Gambar: Perluas bagian Deleted Files dan pilih kategori File System atau All. Autopsy akan menampilkan daftar semua file yang ditemukan, termasuk yang sudah ditandai terhapus.
Memeriksa File: Klik pada file gambar yang terhapus. Di panel bawah, Anda dapat melihat informasi detail file, termasuk data Metadata.
Langkah 3: Menggali Lokasi dari EXIF Data
Ini adalah langkah kunci untuk menemukan lokasi pengambilan gambar:
Analisis Metadata: Ketika Anda mengklik file gambar, lihat tab Metadata (atau EXIF) di panel Detail.
Cari GPS Data: Data EXIF adalah standar yang menyimpan informasi teknis dan deskriptif tentang sebuah gambar. Jika perangkat yang mengambil gambar (misalnya, smartphone dengan fitur lokasi aktif) menyertakannya, Anda akan menemukan bagian Geolocation.
Ekstraksi Koordinat: Catat koordinat lintang (Latitude) dan bujur (Longitude).
Verifikasi Lokasi: Gunakan koordinat ini dan masukkan ke layanan pemetaan online (seperti Google Maps) untuk menentukan lokasi fisik yang tepat di mana gambar tersebut diambil.
Kesimpulan
Autopsy adalah alat yang sangat kuat untuk penyelidik digital. Dengan memanfaatkan kemampuannya dalam memulihkan file terhapus dan menganalisis metadata EXIF, kita dapat secara efektif menentukan lokasi pengambilan gambar, bahkan setelah penghapusan. Kemampuan ini sering kali menjadi game-changer dalam investigasi, memberikan bukti kontekstual yang berharga untuk mengungkap kebenaran di balik jejak digital.
Disclaimer: Penggunaan Autopsy dan teknik forensik digital harus selalu dilakukan secara etis dan sesuai dengan hukum yang berlaku.
Tidak ada komentar:
Posting Komentar