Scalpel vs Foremost: Analisis Banding Tool Recovery Data

Screenshot from 2015-04-14 06:20:28Apa yang terjadi jika file penting di dalam media penyimpanan (fd, hd, sd, micro sd, dll) anda tiba-tiba musnah karena ga sengaja terhapus atau terformat? Atau mungkin disembunyikan oleh virus? Sebagian besar mungkin akan kelabakan dan frustrasi. Sebagian lain mungkin rela mengeluarkan duit berapa pun untuk memunculkan file tersebut. Namun sebagian yang ga kehabisan akal akan mencoba Recovery Data Tool atau File Carver Tool😀.

Bagi pengguna komputer level menengah ke atas, memunculkan file yang hilang bukan suatu masalah yang berarti. Ada banyak tool untuk memunculkan file yang hilang. Di windows ada recuva. Di android ada diskdigger. Di linux, BSD dan varian Unix-like lainnya ada scalpel, foremost, magicrescue, autopsy dan banyak lagi lainnya. Memang, masing-masing tool tersebut memiliki algoritma yang berbeda untuk memunculkan file. Dan tidak ada tool yang lebih dominan dibanding tool yang lain.

Pada kesempatan kali ini saya penasaran ingin membandingkan hasil data yang digali (dikorek😛 ) foremost dan turunannya, scalpel. Sebelum mengulas lebih lanjut, perlu diketahui bahwa scalpel dibuat berdasarkan foremost versi 0.69. Kalau baca di artikel berikut, di situ dibandingkan hasil dari foremost versi 0.69 dan scalpel 1.5. Sementara deskripsi dari analisis yang saya uji coba sebagai berikut:

1. Versi: Scalpel 1.6 dan Foremost 1.5.7

2. Laptop: Lenovo Thinkpad Core I7, RAM 4GB, GPU: Intel HD 4000 & Nvidia GeForce GT745M 2GB

3. Flashdisk yang dicarve: Kingston DT 101 G2 16GB

Saya sengaja hanya menguji dengan memunculkan satu macam file saja dengan ekstensi jpg. Dengan bantuan native unix-command –> “time”. Berikut penampakan saat proses awal dimulai:

Proses Awal Foremost 1.5.7

Proses Awal Foremost 1.5.7

Proses Awal Scalpel 1.60

Proses Awal Scalpel 1.60

Di artikel luar selalu digadang-gadang bahwa scalpel merupakan tool yang dirancang dengan penambahan dan perbaikan kinerja. Namun sampai saat ini data yang saya baca secara online masih perbandingan antara Scalpel 1.50 dengan Foremost 0.69. Belum ada data yang lebih up-to-date. Karena di kali linux tersedia kedua tool ini, iseng aja saya coba bandingkan dengan versi yang lebih baru.🙂

Hasil akhir yang saya dapatkan ternyata ga berbeda signifikan. Bahkan menurut saya pada uji coba kali ini foremost lebih unggul. Dari flashdisk yang sama, hasilnya seperti berikut:

1. Waktu Penyelesaian: Foremost (12m13.980s) vs Scalpel (14m.58.936s), terpaut hampir 3 menit.

2. File yang dimunculkan: Foremost (3875 buah) vs Scalpel (2979)

3. Output layout: Foremost (1 buah folder jpg dan 1 file audit.txt) vs Scalpel (3 buah folder jpg-0-0 jpg-0-1 jpg-0-2 dan 1 file audit.txt)

Hasil Akhir Scalpel 1.60

Hasil Akhir Scalpel 1.60

Hasil Akhir Foremost 1.5.7

Hasil Akhir Foremost 1.5.7

Pada kedua percobaan di atas saya menggunakan mode verbose dengan syntax -vv untuk mengamati proses spesifik yang sedang berjalan. Hasil uji coba mungkin bisa berbeda pada environment yang berbeda, saya juga belum menguji carving beberapa file dengan ekstensi yang berbeda sekaligus.

Tidak penting tool atau aplikasi apapun yang digunakan untuk file carving.

Tidak penting OS apapun yang digunakan.

Pada akhirnya yang penting dan bermakna hanyalah kreativitas.😀

Selamat mencoba!!!

Source:

http://www.dfrws.org/2005/proceedings/richard_scalpel.pdf

http://www.cise.ufl.edu/~sahni/papers/scalpel.pdf

https://help.ubuntu.com/community/DataRecovery

https://www.howtoforge.com/recover-deleted-files-with-foremost

https://www.howtoforge.com/recover-deleted-files-with-scalpel

http://en.wikipedia.org/wiki/Foremost_%28software%29

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s