CORE Metadata, citation and similar papers at core.ac.uk

Provided by Portal Jurnal Universitas Serang Raya Jurnal PROSISKO Vol. 3 No. 1 Maret 2016 ISSN: 2406-7733

ANALISIS MENGGUNAKAN FORENSIC: WINHEX AND X-WAYS FORENSIC

Vidila Rosalina1 , Andri Suhendarsah2, M. Natsir3 FTI Universitas Serang Raya Jl. Raya Serang-Cilegon Taman Kopasus 1)[email protected], 2)[email protected])[email protected]

Abstrak - Segala bentuk kejahatan baik di dunia nyata maupun di dunia maya, sering meninggalkan jejak yang tersembunyi ataupun terlihat. Jejak tersebut yang kemudian dapat meningkat statusnya menjadi bukti, menjadi salah satu perangkat/entitas hukum.Data recovery merupakan bagian dari analisa forensik di mana hal ini merupakan komponen penting di dalam mengetahui apa yang telah terjadi, rekaman data, korespondensi, dan petunjuk lannya. Banyak orang tidak menggunakan informasi yang berasal dari data recovery karena dianggap tidak murni/asli/orisinil. Setiap sistem operasi bekerja dalam arah yang unik, berbeda satu sama lain (walaupun berplatform sistem operasi yang sama). Untuk melihat seberapa jauh data sudah dihapus atau belum, perlu memperhatikan segala sesuatu yang ada dalam raw disk. Jika data yang digunakan untuk kejahatan ternyata masih ada, maka cara yang termudah adalah menguji data dengan pemanfaatan tool yang ada pada standar UNIX, seperti strings, grep, text pagers, dan sebagainya. Sayangnya, tools yang ada tidak menunjukkan data tersebut dialokasikan di mana.Artikel ini akan membahas software forensic: winhex and x-ways forensic yang dapat melakukan data recovery dengan lebih sempurna.

Kata Kunci: Data Recovery, Digital Forensic, Wihex, X-Way Forensic

I. PENDAHULUAN hanya dilakukan ketika melakukan proses format. Dengan dibentuknya Asosiasi Forensik Digital Sekalipun file dihapus, potongan-potongan file Indonesia (AFDI) oleh Kementrian Komunikasi dan tersebut masih selamat/tersimpan. Jika sebuah Informatika pada tanggal 17 November 2015 yang dokumen berada pada disk dalam bentuk yang di- lalu hal ini membuktikan bahwa Digital Forensik compress, maka dokumen tersebut tetap dalam bentuk merupakan bidang ilmu baru dalam dunia komputer ter-compress saat dihapus, dengan demikian pencarian yang berkembang pesat akhir-akhir ini dengan makin di disk untuk sebuah kata kunci yang hanya ada di maraknya kejahatan di bidang komputer serta semakin dalam file yang dihapus tidak akan membuahkan banyaknya buku-buku yang mengupas mengenai hasil. File yang sedikit terfragmentasi (terpecah- digital forensik, sehingga semakin menambah refrensi pecah) akan lebih memudahkan untuk dipulihkan / di- pengetahuan bagi peneliti-peneliti muda. Dengan recover, tetapi penempatan file system yang baik lahirnya Undang-undang Informasi Transaksi memiliki lebih banyak manfaat, antara lain Elektronik nomor 11 Tahun 2008, maka semakin memungkinkan informasi yang terhapus dapat membuat bidang ilmu ini menjadi perangkat wajib bertahan lebih lama daripada yang kita duga. Dengan untuk membongkar kejahatan yang melibatkan dunia semakin berkembangnya sistem enkripsi, seorang komputer, karena pada umumnya kejahatan komputer penyusup selalu berusaha untuk mendapatkan ini meninggalkan jejak digital, maka perlu adanya berbagai informasi, dimanapun dan bagaimanapun seorang ahli komputer forensik yang akan bentuk informasi tersebut, bahkan walaupun informasi mengamankan barang bukti digital atau biasa disebut tersebut sudah dihilangkan. Dengan menggunakan digital evidence. Komputer Forensik tentu peralatan canggih seperti magnetic force microscopy memerlukan suatu standart operational procedure (MFM) informasi yang berbentuk file yang disimpan (SOP) dalam mengambil bukti-bukti digital agar tidak pada media magnetic dan telah dihapus serta ditimpa terkontaminasi pada saat data di ambil dari digital berulang kali dapat diperoleh kembali. Agar dapat evidence sehingga sangat memudahkan para ahli menghapus file dan tidak dapat dikembalikan lagi komputer forensik untuk melakukan pemulihan sistem terutama penghapusan yang aman pada media pasca kerusakan (Rosalina, 2015). magnetik, dikenal meetoda lama yang dikenal dengan Konsep Awal Pada kondisi sebenarnya, dalam metoda standar DoD (Department of Defense). proses delete itu tidak menghapus data secara Metoda DoD ini adalah dengan menimpa data dengan permanen dari media penyimpanan (disk, dsb), tapi sebuah pola kemudian ditimpa lagi dengan memberitahukan kepada komputer bahwa ruang yang komplemen pola pertama dan ketiga ditimpa lagi ditempati data tersebut tersedia untuk ditimpa/diisi/di- dengan pola lain. Misalnya sebuah data ditimpa oleh overwrite oleh data yang lain. File ini dapat dengan pola 1 (satu) semua, kemudian ditimpa oleh mudah dikembalikan ke bentuk semula, bila belum komplemennya yaitu 0 (nol) semua dan terakhir tertimpa file lain dengan menggunakan Norton Utility dengan pola 10 (satu nol). Tetapi Bruce Schneier atau Lost & Found dari PowerQuest. Pada Windows menyarankan menghapus file sebanyak tujuh kali. 9x/NT bahkan disediakan Recycle Bin sehinnga dapat Pertama dengan pola 1 (satu) kemudian dengan pola 0 mengembalikan file yang secara tidak sengaja (nol) sebanyak lima kali dan terakhir dengan pola terhapus. Kapasitas penyimpanan (harddisk) yang pseudo-random yang aman secara kriptografi. Tetapi semakin besar saat ini, memungkinkan orang untuk cara ini pun tidak aman setelah dikembangkannya menggunakan seluruh ruang harddisk, dan overwrite electron-tunneling microscopes. Cara penghapusan 51

Jurnal PROSISKO Vol. 3 No. 1 Maret 2016 ISSN: 2406-7733 yang aman pada media magnetik adalah seperti yang 1. Dapat Diterima (Admissible) Harus mampu dikembangkan oleh Peter Gutmann dari Universitas diterima dan digunakan demi hukum, mulai dari Auckland. Pada metoda ini Peter Gutmann kepentingan penyidikan sampai dengan mengembangkan pola tertentu yang disesuaikan kepentingan pengadilan. dengan cara pengkodean pada harddisk seperti RLL, 2. Asli (Authentic) Bukti tersebut harus berhubungan MFM, dan PRLM. Konsep dengan cara overwrite ini dengan kejadian/kasus yang terjadi dan bukan adalah dengan membalik bidang magnetik pada disk rekayasa. bolak-balik sebanyak mungkin tanpa menulis pola 3. Lengkap (Complete) Bukti bisa dikatakan bagus yang sama berturut-turut.Rumusan masalah pada dan lengkap jika di dalamnya terdapat banyak artikel ilmiah ini adalah bagaimana data petunjuk yang dapat membantu proses investigasi. recoverymenggunakan software forensic: winhex and 4. Dapat Dipercaya (Believable & Reliable) Bukti x-ways forensic? dapat mengatakan hal yang terjadi di belakangnya. Jika bukti tersebut dapat dipercaya, maka proses II. METODE PENELITIAN investigasi akan lebih mudah. Walau relatif, dapat 2.1. The Chain of Custody dipercaya ini merupakan suatu keharusan dalam Satu hal terpenting yang perlu dilakukan penanganan perkara. investigator untuk melindungi bukti adalah the chain 2.3. Metodologi Forensik of custody.Maksud istilah tersebut adalah Teknologi Informasi Metodologi yang digunakan pemeliharaan dengan meminimalisir kerusakan yang dalam menginvestigasi kejahatan dalam teknologi diakibatkan karena investigasi.Barang bukti harus informasi dibagi menjadi dua : benarbenar asli atau jika sudah tersentuh investigator, 1. Search & Seizure. Investigator harus terjun pesan-pesan yang ditimbulkan dari bukti tersebut tidak langsung ke dalam kasus yang dihadapi, dalam hal hilang. Tujuan dari the chain of custody adalah : ini kasus teknologi informasi.Diharapkan 1. Bukti itu benar-benar masih asli/orisinil investigator mampu mengidentifikasi, 2. Pada saat persidangan, bukti masih bisa dikatakan menganalisa, dan memproses bukti yang berupa seperti pada saat ditemukan. (biasanya jarak fisik. Investigator juga berwenang untuk antara penyidikan dan persidangan relatif lama). melakukan penyitaan terhadap bukti yang dapat Beberapa pertanyaan yang dapat membantu the membantu proses penyidikan, tentunya di bawah chain of custody ini adalah : koridor hukum yang berlaku. 1. Siapa yang mengumpulkan bukti ? 2. Pencarian Informasi. Beberapa tahapan dalam 2. Bagaimana dan di mana ? pencarian informasi khususnya dalam bidang 3. Siapa yang memiliki bukti tersebut ? teknologi informasi : 4. Bagaimana penyimpanan dan pemeliharaan selama a. Menemukan lokasi tempat kejadian perkara penyimpanan bukti itu ? b. Investigator menggali informasi dari aktivitas 5. Siapa yang mengambil dari penyimpanan dan yang tercatat dalam log di komputer. mengapa ? c. Penyitaan media penyimpanan data (data Untuk menjaga bukti itu dalam mekanisme the chain storages) yang dianggap dapat membantu proses of custody ini, dilakukan beberapa cara : 1. Gunakan penyidikan catatan yang lengkap mengenai keluar-masuk bukti Walaupun terlihat sangat mudah, tetapi dalam dari penyimpanan praktek di lapangan, ketiga tahapan tersebut sangat 2. Simpan di tempat yang dianggap aman. sulit dilakukan.Investigator yang lebih biasa 3. Akses yang terbatas dalam tempat penyimpanan. ditempatkan pada kasus kriminal non-teknis, lebih 4. Catat siapa saja yang dapat mengakses bukti terkesan terburu-buru mengambil barang bukti dan tersebut. terkadang barang bukti yang dianggap penting ditinggalkan begitu saja.Dalam menggali informasi yang berkaitan dengan kasus teknologi informasi, peran investigator dituntut lebih cakap dan teliti dalam menyidik kasus tersebut.Celah yang banyak tersedia di media komputer menjadikan investigator harus mengerti trik-trik kasus teknologi informasi.Kedua metodologi di atas setidaknya menjadi acuan pihak yang berwenang dalam menyidik kasus kejahatan dalam bidang teknologi informasi.

Gambar 1. Chain Of Custody (CoC) 2.2. Rules of Evidence III. HASIL DAN PEMBAHASAN Manajemen bukti kejahatan komputer juga Data recovery merupakan bagian dari analisa mengenal istilah “Peraturan Barang Bukti” atau Rules forensik di mana hal ini merupakan komponen penting of Evidence. Arti istilah ini adalah barang bukti harus di dalam mengetahui apa yang telah terjadi, rekaman memiliki hubungan yang relevan dengan kasus yang data, korespondensi, dan petunjuk lannya. Banyak ada. Dalam rules of evidence, terdapat empat orang tidak menggunakan informasi yang berasal dari persyaratan yang harus dipenuhi, antara lain : data recovery karena dianggap tidak murni/asli/orisinil. Setiap sistem operasi bekerja 52

Jurnal PROSISKO Vol. 3 No. 1 Maret 2016 ISSN: 2406-7733 dalam arah yang unik, berbeda satu sama lain g. Menyatukan dan memisahkan file, menyatukan (walaupun berplatform sistem operasi yang sama). dan membagi kejanggalan dalam bytes/words. Untuk melihat seberapa jauh data sudah dihapus atau h. Menganalisa dan membandingkan file – file belum, perlu memperhatikan segala sesuatu yang ada i. Pencarian yang paling flexibel dalam raw disk. Jika data yang digunakan untuk j. Mengganti fungsi – fungsi Disk cloning (undr kejahatan ternyata masih ada, maka cara yang DOS dengan X-Ways Replica) termudah adalah menguji data dengan pemanfaatan k. Mengatur gambar dan mengamankannya (menurut tool yang ada pada standar UNIX, seperti strings, pilihan dikecilkan ukuran filenya atau dipisahkan grep, text pagers, dan sebagainya. Sayangnya, tools menjadi dokumen- dokumen sebesar 650 MB) yang ada tidak menunjukkan data tersebut l. Memprogram interface (API) dan menulis program dialokasikan di mana. Contohnya, intruder menghapus m. Enkripsi AES 256-bit, pengecekan total, CRC32, seluruh system log files (dimulai dari bulan, hari, dan hashes (MD5, SHA-1) waktu) dari minggu pertama Januari, seharusnya n. Menghapus file rahasia dengan aman, ditulis untuk melihat syslog tersebut: Melalui membesihkan hard drive demi menjaga privacy investigasi dari sistem yang dirusak oleh intruder, o. Mengimpor semua format clipboard, termasuk sistem files UNIX yang modern tidak menyebar ASCII hex contents dari suatu file secara acak dalam disk. p. Mengkonversi diantara biner, hex ASCII, Intel Sebagai gantinya, sistem files dapat mencegah hex, dan Motorola S fragmentasi file, meskipun setelah digunakan q. Setelan karakter : ANSI ASCII, IBM ASCII, beberapa tahun. File content dengan sedikit EBCDIC, (Unicode) fragmentasi akan lebih mudah untuk proses recover r. Pergantian jendela yang cepat. Mencetak. dari pada file content yang menyebar dalam disk Pembangkit nomor acak (media penyimpanan). Tetapi sistem file yang baik s. Mendukung file dengan ukuran yang lebih dari 4 memiliki beberapa keuntungan lain, salah satunya GB. Sangat cepat. mampu untuk menghapus informasi untuk bertahan t. Mudah digunakan. Pertolongan yang selalu ada lebih lama dari yang diharapkan. Dalam kasus Linux, setiap saat. sistem file extension tidak akan menghapus lokasi dari urutan pertama 12 blok data yang tersimpan dalam inode jika file sudah dipindah/dihapus. Hal ini berarti menghapus data dapat dikembalikan langsung dengan menggunakan icat dalam inode yang terwakilkan. Seperti metode data recovery lainnya, tidak akan menjamin jika data tetap ada di tempat semula. Jika file dihapus dalam sistem operasi Linux, inode’s time akan terupdate. Dengan menggunakan informasi tersebut, data dapat dikembalikan dari 20 inode pada sistem file yang dihapus. Forensic Software WinHex pada intinya adalah Gambar 2.WinHex editor hexadecimal universal, yang paling utama X-Ways Forensik, edisi forensik dari WinHex, adalah sangat membantu dalam bidang computer adalah lingkungan komputer forensik yang kuat dan forensics, data recovery, proses data dalam tingkat mampu dengan sejumlah fitur forensik, yang rendah, dan keamanan IT. Sebuah peralatan yang menerjemahkannya menjadi perangkat analisis yang semakin maju setiap harinya dan penggunaan dalam kuat : menangkap ruang yang bebas, ruang yang keadaan darurat : memeriksa dan mengedit semua lemah, ruang dalam partisi, dan teks, membuat table jenis file mengembalikan data yang telah dihapus atau yang berisi petunjuk dengan detail yang lengkap data yang telah hilang dari hard drives system file dengan segala file yang termasuk dan file yang telah yang corrupt, atau dari kartu memory digital camera. dihapus dan direktori dan bahkan alur data alternative Berikut adalah beberapa kelebihan dan cara kerja dari (NTFS), file dengan penomoran yang tertahan, dan WinHex, antara lain : banyak lagi. Juga menyediakan sebagai penggambar a. untuk hard disk, , CD-ROM disk dalam tingkatan rendah dan peralatan cloning & DVD, ZIP, Smart Media, Compact Flash. yang menciptakan cermin sesungguhnya (termasuk Dukungan untuk FAT, NTFS, Ext2/3, ReiserFS, ruang yang lemah) dan membaca sebagian besar Reiser4, UFS, CDFS, UDF format drive dan type media, pendukung – pendukung b. Memiliki interpretasi untuk sistem RAID dan drive dan file dari ukuran yang pada dasarnya tidak dynamic disks terbatas (bahkan terabytes dari NTFS volumes). X- c. Berbagai macam teknik pemulihan data Ways forensics dan WinHex pada dasarnya d. RAM editor, menyediakan akses kepada physical mengartikan dan menunjukan struktur direktori pada RAM, dan proses-proses yang dimiliki virtual FAT, NTFS, Ext2/3, Reiser, CDFS, dan media UDF memory dan file gambar. Itu menunjukan pemulihan yang e. Penerjemah data, mengetahui 20 jenis type data aman pada hard disk, memory card, flash disks, floppy f. Mengedit struktur data menggunakan templates disks, ZIP, JAZ, CDs, DVDs, dan banyak lagi. X- (contoh : untuk memperbaiki tabel partisi / boot Ways forensics dan WinHex menyatukan beberapa sector) 53

Jurnal PROSISKO Vol. 3 No. 1 Maret 2016 ISSN: 2406-7733 mekanisme penyembuhan file yang otomatis dan n. Upgrading MP3 jukeboxes and Microsoft Xbox mengizinkan pemuliha data secara manual. WinHex with larger hard drive,untuk meng-upgrade, hard memberikan kepuasan, pencarian fungsi yang sangat disk baru memerlukan persiapan dan disinilah cepat secara simultan yang mungkin anda butuhkan winhex dipergunakan. untuk mencari di seluruh media (atau data gambar), o. Manipulating text,untuk mengubah text di sebuah termasuk kelemahan, untuk data yang telah dihapus, file berupa binary yang di aplikasi tersebut tidak data yang disembunyikan dan banyak lagi. Melalui diizinkan untuk bisa merubahnya. akses fisik, hal ini dapat dilakukan meskipun isinya p. Viewing and manipulating files that usually cannot tidak terdeteksi oleh , contohnya be edited, untuk mengubah file yang tidak bisa yang disebabkan oleh sistem file yang corrupt dan diubah karena dilindungi oleh windows tidak diketahui. Selain fitur-fitu diatas, Winhex juga q. Viewing, editing, and repairing sistem dapat digunakan untuk: areas,seperti master boot record dengan table a. Drive cloning, drive imaging,membuat suatu pembagiannya dan boot sector. duplikasi yang bisa menghemat waktu dalam r. Hiding data or discovering hidden data Winhex menginstall suatu sistem operasi dan software secara khusus memungkinkan kita menggunakan lainnya untuk beberapa komputer yang sejenis atau bagian yang kelebihan dan tidak digunakan oleh agar memungkinkan untuk memperbaiki suatu sistem operasi installasi yang sedang dilakukan apabila ada data s. Copy & Paste, dimungkinkan untuk secara bebas yang rusak. untuk mengkopi dari disk dan menuliskannya ke b. RAM editor Untuk menjalankan/memanipulasi dalam clipboard di disk tanpa perlu melihat program yang sedang berjalan dan dalam batasan bagian/sektor nya permainan komputer khusus. t. Unlimited Undo, mengulang apa yang telah kita c. Analyzing files Untuk menentukan jenis recoveri ubah atau kerjakan dengan bebas tanpa batasan. data sebagai bagian rantai yang hilang oleh u. Jump back and forward Winhex, menyimpan ScanDisk atau ChkDisk sejarah/history apa yang telah dikerjakan sehingga d. Wiping confidential files or disks Dengan bisa kembali ke sebelum atau ke tahap apa yang menghapus file rahasia dengan winhex maka tidak telah kerjakan dengan mudah seperti pada web satupun dari komputer yang ada bahkan spesialis browser. komputer forensik sekalipun tidak akan bisa v. Scripting Pengubahan file otomatis menggunakan mendapatkan file itu lagi. script. Script bisa dijalankan dari start center atau e. Wiping unused space and slack space . Dengan awal perintahnya. Ketika script dijalankan kita bisa menghapus ruang kosong yang tidak terpakai membatalkannya dengan menekan esc. maka akan meminimalkan ukuran backup datanya. w. API (Application Programming Interface) Pada drive berjenis NTFS, winhex dapat Pengguna yang professional (programer) akan membersihkan semua file $Mft (Master File memanfaatkan kemampuan winhex dalam Table) yang tidak terpakai. program buatan mereka. f. ASCII-EBCDIC conversion, memungkinkan untuk x. Data recovery, bisa digunakan pada semua file bisa merubah kode ASCII ke EBCDIC sistem dan bisa memperbaiki beberapa jenis file g. Binary, Hex ASCII, Intel Hex, and Motorola S pada satu waktu seperti file jpg, png, gif, tif, bmp, conversion, digunakan oleh programmer yang dwg, psd, rtf, xml, html, eml, dbx, xls/doc, mdb, menggunakan (E)PROM wpd, eps/ps, pdf, qdf, pwl, zip, rar, wav, avi, ram, h. Unifying and dividing odd and even bytes/words, rm, mpg, mpg, mov, asf, mid. digunakan oleh programmer yang menggunakan y. Komputer examination/ forensiksWinhex adalah (E)PROM sebuah alat atau software yang sangat berharga i. Conveniently editing data structure, untuk bagi seorang spesialis investigasi komputer di merubah struktur data yang ada dengan baik sesuai sebuah perusahaan pribadi dan untuk penegakkan dengan apa yang diinginkan. hukum. j. Splitting files that do not fit on a disk Kita bisa z. Trusted download Dengan winhex akan lebih menggabungkan atau membagi file yang tidak aman dan dapat dipercaya kebersihannya dari hal- muat di disk. hal yang dapat mengganggu komputer. k. WinHex as a reconnaissance and learning tool, aa. 128-bit encryption dengan winhex kita bisa menemukan program-program lain yang disimpan membuat file tidak bisa dibaca oleh orang lain. pada suatu file dan mempelajari file-file yang bb. Checksum/digest calculation Untuk memastikan formatnya tidak diketahui dan bagaimana file file yang ada tidak ada yang rusak dan tidak tersebut bekerja. terubah, atau untuk mengenali file-file yang l. Finding interesting values (e.g. the number of dikenal. lives, ammunition, etc.) in saved game files cc. Generating pseudo-random data Digunakan untuk Menggunakan penggabungan antara pencarian beberapa tujuan seperti simulasi ilmiah. atau menggunakan perbandingan file m. Manipulating saved game files,untuk permainan di komputer, mengikuti cheat-nya yang ada di internet atau membuat cheat sendiri.

54

Jurnal PROSISKO Vol. 3 No. 1 Maret 2016 ISSN: 2406-7733

[3] Kemmish, R. M., 2012 “What is Forensic Computer”. Australian institute of Criminology, Canberra. (http://www.aic.gov.au/ publications/ tandi/ti118.pdf) [4] Mutiara, A Benny, 2007, Buku: Panduan Komputer Forensik Dalam Penanganan Bukti Digital Pada Personal Digital Assistants (PDA) [5] N. L. Beebe and J. G. Clark, 2005, “A hierarchical, objectives-based framework for the digital investigations process”, Digit. Investig., vol. 2, no. 2, pp. 147–167. [6] Osvalds, G. ,2001. “Definition of Enterprise

Gambar 3, X-Ways Forensic Architecture”, – Centric Models for The Systems IV. KESIMPULAN Engineers, TASC Inc. Dari pembahasan yang sudah dipaparkan, [7] P. Čisar and S. M. Čisar, “Methodological makapeneliti dapat menarik kesimpulan,yaitu : frameworks of digital forensics”, in SISY 2011 - Penggunaan software forensic: winhex and x-ways 9th International Symposium on Intelligent forensic memiliki banyak keunggulan dalam data Systems and Informatics, Proceedings, 2011, pp. recovery sehingga dapat membantupara penegak 343–347. hukum dalam melengkapi persyaratan Rules Of [8] Prayudi, Y., Ashari, A. , 2015 “Digital Chain of Evidence dan Chain of Custody. Custody!: State Of The Art”, Int. J. Comput. Appl., vol. 114(5), pp. 1–9. V. DAFTAR PUSTAKA [9] Rosalina, Vidila, 2015, Pengembangan Model [1] E. K. Mabuto and H. S. Venter, 2011, “State Tahapan Digital Forensics Untuk Mendukung of the art of Digital Forensic Techniques”, in Serang Sebagai Kota Bebas Cyber Crime, Information Security for South Africa (ISSA, pp. Proceding SENASSET 2015ISBN 978-602-73672- 1–7). 0-3 : 12 Desember 2015. [2] F. Dezfoli and A. Dehghantanha, 2013, “Digital [10] www.winhex.com/winhex/ Forensic Trends and Future”, Int. J. Cyber-Sec [11] www.worldwidejournals.com urity Digit. Forensics, vol. 2, no. 2, pp. 48–76. [12] www.x-ways.net/forensics/

55