Perbandingan Tools Forensics pada Fitur TRIM SSD NVMe Menggunakan Metode Live Forensics

Authors

  • Wisnu Pranoto Program Studi Teknik Informatika, Fakultas Teknologi Industri, Universitas Islam Indonesia
  • Imam Riadi Program Studi Sistem Informasi, Fakultas Matematik dan Ilmu Pengetahuan Alam, Universitas Ahmad Dahlan
  • Yudi Prayudi Program Studi Teknik Informatika, Fakultas Teknologi Industri, Universitas Islam Indonesia

DOI:

https://doi.org/10.25299/itjrd.2020.vol4(2).4615

Keywords:

Digital Evidence, Live Forensics, Tools Forensics, TRIM, Solid State Drive NVMe

Abstract

SSD saat ini memiliki teknologi media penyimpanan yang baru yaitu Solid State Drive Non-volatile Memory Express (SSD NVMe). Selain itu, SSD memiliki fitur bernama TRIM. Fitur TRIM memungkinkan sistem operasi untuk memberitahu SSD terkait block mana saja yang sudah tidak digunakan. TRIM berfungsi menghapus block yang telah ditandai untuk dihapus oleh sistem operasi. Namun fungsi TRIM memiliki efek atau nilai negatif bagi bidang forensik digital khususnya terkait dengan recovery data. Penelitian ini bertujuan untuk melakukan perbandingan fungsi TRIM disable dan enable guna mengetahui kemampuan tools forensics dan tools recovery dalam mengembalikan bukti digital pada SSD NVMe fungsi TRIM. Sistem operasi yang digunakan dalam penelitian ini adalah Windows 10 profesional dengan file system NTFS. Selama ini, teknik akuisisi umumnya digunakan secara tradisional atau static. Oleh karena itu diperlukan teknik untuk mengakuisisi SSD dengan menggunakan metode live forensics tanpa mematikan sistem operasi yang sedang berjalan. Penerapan metode live forensics digunakan untuk mengakuisisi SSD NVMe secara langsung pada fungsi TRIM disable dan enable. Tools yang digunakan untuk live akuisisi dan recovery adalah FTK Imager Portable dan Testdisk. Prosentase recovery TRIM disable menggunakan tool Autopsy dan Testdisk 100% sehingga dapat menemukan barang bukti dan menjaga integritas barang bukti, hal ini dibuktikan dengan nilai hash yang sama pada file asli dan file hasil recovery, Sedangkan tool Belkasoft hanya 3%. Sementara pada TRIM enable menggunakan tool Autopsy, Belkasoft, dan Testdisk 0%, file hasil recovery mengalami kerusakan dan tidak dapat di-recovery.

Downloads

Download data is not yet available.

References

Dwi, “Laporan Dwi Bulan I 2014,” Incid. Monit. Rep., pp. 1–9, 2018.

M. Nuh Al-Azhar, Digital Forensic Practical Guildelines for Computer Investigation, no. c. 2012.

I. Riadi, R. Umar, and I. M. Nasrulloh, “Analisis Forensik Digital Pada Frozen Solid State Drive Dengan Metode National Institute of Justice (NIJ),” Elinvo (Electronics, Informatics, Vocat. Educ., vol. 3, no. 1, pp. 70–82, Jul. 2018.

R. A. Ramadhan, Y. Prayudi, and B. Sugiantoro, “Implementasi dan Analisis Forensika Digital Pada Fitur Trim Solid State Drive (SSD),” 2016.

B. Nikkel, “NVM express drives and digital forensics,” Digit. Investig., vol. 16, pp. 38–45, 2016.

Q. Xu et al., “Performance Analysis of NVMe SSDs and their Implication on Real World Databases,” SYSTOR 2015 - Proc. 8th ACM Int. Syst. Storage Conf., 2015.

R. Hubbard, “Forensics Analysis of Solid State Drive ( SSD ),” pp. 1–11, 2016.

F. Geier, “The differences between SSD and HDD technology regarding forensic investigations,” p. 67, 2015.

R. K. Chaurasia and P. Sharma, “Solid State Drive (SSD) Forensics Analysis : A New Challenge,” Int. J. Sci. Res. Comput. Sci. Eng. Inf. Technol. © 2017 IJSRCSEIT, vol. 6, no. 2, pp. 1081–1085, 2017.

Statista, “Shipments of Hard and Solid State Disk (HDD/SSD) Drives Worldwide From 2015 to 2021.” [Online]. Available: https://www.statista.com/statistics/285474/hdds-and-ssds-in-pcs-global-shipments-2012-2017/.

M. N. Al-Azhar, “The Essentials of Digital Forensic,” 2016.

Y. Prayudi, “Problema dan Solusi Digital Chain of Custody,” Senasti - Semin. Nas. Sains dan Teknol. Inf., no. 2011, 2014.

Soni, D. Sudyana, Y. Prayudi, H. Mukhtar, and B. Sugiantoro, “Server Virtualization Acquisition Using Live Forensics Method,” Adv. Eng. Res., vol. 190, pp. 18–23, 2019.

D. Sudyana and N. Lizarti, “Digital Evidence Acquisition System on IAAS Cloud Computing Model using Live Forensic Method,” Sci. J. Informatics, vol. 6, no. 1, pp. 125–137, 2019.

I. Riadi and M. E. Rauli, “Live forensics analysis of line app on proprietary operating system,” Kinet. Game Technol. Inf. Syst. Comput. Network, Comput. Electron. Control, vol. 4, no. 4, pp. 305–314, 2019.

J. Arulraj and A. Pavlo, “How to Build a Non-Volatile Memory Database Management System,” Proc. ACM SIGMOD Int. Conf. Manag. Data, vol. Part F1277, pp. 1753–1758, 2017.

M. Rafique and M. N. A. Khan, “Exploring Static and Live Digital Forensics: Methods, Practices and Tools,” Int. J. Sci. Eng. Res., vol. 4, no. 10, pp. 1048–1056, 2013.

A. Nisbet, S. Lawrence, and M. Ruff, “A Forensic Analysis and Comparison of Solid State Drive Data Retention With Trim Enabled File Systems,” Aust. Digit. Forensics Conf., p. 10, 2013.

A. Faiz and R. Imam, “Forensic Analysis of ‘Frozen’ Hard Drive Using Deep Freeze Method,” no. March, 2017.

I. Riadi and A. Hadi, “Analisis Bukti Digital SSD NVMe pada Sistem Operasi Proprietary Menggunakan Metode Static Forensics,” CoreIt, vol. 3321, no. 2, pp. 1–8, 2019.

D. S. Yudhistira, “Metode Live Forensics Untuk Analisis Random Access Memory Pada Perangkat Laptop,” 2018.

S. Rahman and M. N. A. Khan, “Review of Live Forensic Analysis Techniques,” Int. J. Hybrid Inf. Technol., vol. 8, no. 2, pp. 379–388, 2015.

B. S. Nasional, “Teknologi Informasi – Teknik Keamanan – Pedoman Identifikasi, Pengumpulan Akuisisi, dan Preservasi Bukti Digital,” in SNI 27037:2014, Jakarta, 2014.

D. Jeong and S. Lee, “Forensic signature for tracking storage devices: Analysis of UEFI firmware image, disk signature and windows artifacts,” Digit. Investig., vol. 29, pp. 21–27, 2019.

K. Gary, “File Signature.” [Online]. Available: https://www.garykessler.net/library/file_sigs.html.

Y. Gubanov and O. Afonin, “Recovering Evidence from SSD Drives: Understanding TRIM, Garbage Collection, and Exclusions,” 2014.

Downloads

Published

2020-02-28

How to Cite

Pranoto, W., Riadi, I., & Prayudi, Y. (2020). Perbandingan Tools Forensics pada Fitur TRIM SSD NVMe Menggunakan Metode Live Forensics. IT Journal Research and Development, 4(2). https://doi.org/10.25299/itjrd.2020.vol4(2).4615

Issue

Vol. 4 No. 2 (2020)

Section

Articles

License

This is an open access journal which means that all content is freely available without charge to the user or his/her institution. The copyright in the text of individual articles (including research articles, opinion articles, and abstracts) is the property of their respective authors, subject to a Creative Commons CC-BY-SA licence granted to all others. ITJRD allows the author(s) to hold the copyright without restrictions and allows the author to retain publishing rights without restrictions.