Ekstraksi Full File System pada Iphone Menggunakan Cellebrite UFED
Baru-baru ini UFED Cellebrite merilis versi terbaru dari versi UFED mereka, yaitu versi UFED 7.28. Salah satu fitur baru yang menarik dari versi ini adalah kemampuan UFED untuk melakukan ekstraksi dengan metode Full File System terhadap perangkat iOS.
Baru-baru ini UFED Cellebrite merilis versi terbaru dari versi UFED mereka, yaitu versi UFED 7.28. Salah satu fitur baru yang menarik dari versi ini adalah kemampuan UFED untuk melakukan ekstraksi dengan metode Full File System terhadap perangkat iOS. Harapannya dengan metode ini User bisa mendapatkan data yang lebih banyak untuk membantu mereka dalam proses investigasi.
Metode yang digunakan adalah dengan mengintegrasikan checkm8, sebuah sistem yang forensically sound, yang mampu melakukan Jailbreak sementara pada perangkat target. Metode ini memungkinkan Forensic Examiner untuk melakukan ekstraksi Full File System dari perangkat iOS, tanpa resiko mengubah file system, dan semuanya ada di dalam tool Cellebrite UFED.
Kami mencoba menggunakan fitur baru ini lalu membandingkan hasilnya dengan metode yang sudah ada sebelumnya. Kami menggunakan sebuah perangkat iPhone dengan iOS versi 13.3.1. Awalnya iPhone ini diekstraksi menggunakan metode Logical di UFED, selanjutnya iPhone yang sama diekstraksi menggunakan metode Full File System.
Berikut langkah-langkah dalam melakukan proses ekstraksi menggunakan metode Full File System di Cellebrite UFED :
Metode yang digunakan adalah dengan mengintegrasikan checkm8, sebuah sistem yang forensically sound, yang mampu melakukan Jailbreak sementara pada perangkat target. Metode ini memungkinkan Forensic Examiner untuk melakukan ekstraksi Full File System dari perangkat iOS, tanpa resiko mengubah file system, dan semuanya ada di dalam tool Cellebrite UFED.
Kami mencoba menggunakan fitur baru ini lalu membandingkan hasilnya dengan metode yang sudah ada sebelumnya. Kami menggunakan sebuah perangkat iPhone dengan iOS versi 13.3.1. Awalnya iPhone ini diekstraksi menggunakan metode Logical di UFED, selanjutnya iPhone yang sama diekstraksi menggunakan metode Full File System.
Berikut langkah-langkah dalam melakukan proses ekstraksi menggunakan metode Full File System di Cellebrite UFED :
- Koneksikan perangkat iPhone ke UFED.
- Jika perangkat sudah berhasil dikenali, pilih metode Advanced Logical Extraction.
- Selanjutnya pilih Full File System (checkm8).
- Ketika memilih opsi Full File System (checkm8), User lalu diminta untuk membuat perangkat ke dalam mode DFU (Device Firmware Update). User tidak perlu bingung bagaimana cara membuat perangkat ke dalam mode DFU karena petunjuknya sudah tersedia di layar. Cara masuk ke mode DFU nantinya akan berbeda-beda tergantung jenis perangkat yang akan diekstrak.
- Jika perangkat sudah dalam mode DFU, maka tombol "Continue" akan aktif. Setelah klik tombol "Continue", selanjutnya proses ekstraksi data akan berjalan. Lamanya proses ekstraksi tergantung seberapa besar kapasitas penyimpanan dari perangkat iPhone. Jangan lupa untuk memastikan kapasitas penyimpanan yang tersedia mencukupi.
- Setelah proses ekstraksi selesai, klik tombol Finish.
Ketika hasil ekstraksi ini dibandingkan dengan hasil ekstraksi yang menggunakan metode Logical, terlihat banyak data yang sebelumnya tidak dibaca dengan metode lama kini dapat dibaca dengan metode ekstraksi Full File System (lihat gambar). Sebagai contoh, pada metode Logical data yang berupa file gambar berjumlah 27399. Jika menggunakan metode ekstraksi Full File System jumlah data yang berupa file gambar mencapai jumlah 57383 dengan 130 diantaranya merupakan gambar yang sudah dihapus.
Contoh lain bisa dilihat dari jumlah data hasil parsing perangkat ini yang merupakan data yang menunjukkan lokasi perangkat (Device Locations). Dari metode Logical UFED dapat membaca 859 lokasi dengan 4 data yang sudah dihapus. Pada hasil ekstraksi dengan metode Full File System UFED berhasil membaca 51591 lokasi dengan 157 diantaranya merupakan data yang sudah dihapus.
Tentunya dengan semakin banyak data yang berhasil diekstrak dari sebuah perangkat memungkinkan Forensic Examiner menemukan informasi yang dibutuhkan dalam proses investigasi yang sedang dikerjakan. Maka pastikan perangkat UFED Anda sudah di-update ke versi terbaru agar mendapatkan keuntungan dari fitur-fitur baru dari Cellebrite UFED.
Fitur-fitur Ekstraksi Full File System pada Iphone Menggunakan Cellebrite UFED:
Klik pada gambar untuk memperbesar
Gambar 4. Tampilan di layar Iphone pada saat proses ekstraksi sedang berjalan.
Gambar 3. Pada tampilan UFED sudah ada petunjuk cara membuat perangkat Iphone ke mode DFU. Langkah kerja ini berbeda-beda tergantung jenis Iphone yang akan diekstrak.
Gambar 2. Untuk menggunakan metode Full File System dengan fitur Checkm8, pilih menu Full File System (checkm8).
Gambar 1. Menu pilihan metode ekstraksi pada perangkat Iphone di Cellebrite UFED. Untuk menggunakan metode Full File System, pilih menu Advanced Logical
Fitur-fitur Ekstraksi Full File System pada Iphone Menggunakan Cellebrite UFED:
Klik pada gambar untuk memperbesar
Gambar 6. Tampilan jumlah data hasil ekstraksi sebuah perangkat Iphone dengan menggunakan metode Full File System (checkm8).
Gambar 5. Tampilan jumlah data hasil ekstraksi sebuah perangkat Iphone dengan menggunakan metode Logical.