Kali ini kita akan mencoba menggunakan FTK Imager untuk meng-image, katakanlah sebuah folder yang berisi beberapa file. Selanjutnya kita akan membandingkan hasil hash dari FTK dengan tools lain, yaitu HashCalc.
1. Disini kita gunakan folder "Dokumen Pelaporan" sebagai contoh untuk di-image. Folder tersebut hanya berisi empat file.
2. Selanjutnya kita buka FTK Imager, menu File, pilih Create Disk Image
3. Pilih Contents of a Folder
4. Lalu browse ke folder Dokumen Pelaporan sebagai evidence source
5. Selanjutnya centang semua checkbox dan klik Add
6. Hanya untuk contoh, kita masukkan infromasi sekedarnya aja
7. Lalu pilih folder untuk menyimpan hasil imaging dan tuliskan nama filenya
8. Semua info sudah cukup, kita bisa klik Start untuk memulai proses imaging
9. Ketika proses imaging selesai, FTK akan menampilkan hash MD5 dan SHA1
10. Proses imaging menghasilkan tiga file. File pertama adalah image itu sendiri. Yang kedua adalah file text yang berisi report hasil proses imaging. Dan yang ketiga adalah file csv yang berisi daftar rincian folder dan file yang di-image. Pada file text tersebut kita bisa melihat nilai hash MD5 dan SHA1 sebagaimana pada poin 9 diatas.
11. Sampai sini cukup imaging dengan FTK. Sekarang kita akan mencoba melihat nilai hash atas image tersebut dengan menggunakan tools lain, yaitu HashCalc.
12. Caranya mudah, buka HashCalc (yang sudah terinstal) dan pilih file image (TES1.ad1) sebagai file yang akan dihitung hash-nya.
13. Pastikan checkbox MD5 dan SHA1 tercentang, lalu klik Calculate. HashCalc akan menampilkan nilai hash dari file image TES1.ad1
14. Selajutnya jika kita bandingkan nilai hash antar hasil dari FTK dengan HachCalc, maka akan kita dapatkan nilai yang berbeda. Perbedaan ini disebabkan FTK menambahkan data tertentu sebagai segel dalam proses imaging tersebut. Data tersebut bukan berupa tambahan file, melainkan berupa data yang melekat pada file image ad1. Data tersebut masuk dalam perhitungan hash oleh FTK sehingga menghasilkan nilai hash total yang berbeda dengan hasil perhitungan HashCalc.
15. Untuk menguji hasil image dari FTK, kita gunakan kembali FTK Imager, tambahkan file image tersebut melalui menu File - Add Evidence Item. Lalu klik kanan pada image yang muncul, dan pilih Verify Drive/Image.
16. FTK akan menghitung hash total dari file image tersebut dan menampilkannya seperti pada poin 9 diatas.
17. Kita bisa juga gunakan HashCalc untuk menghitung hash hasil imaging dari FTK. Namun ini dilakukan untuk rincian file yang di-image, bukan pada file image itu sendiri.
18. Sebelum kita menggunakan HashCalc pada rincian file tersebut, kita buka dahulu file csv dari hasil FTK. Disini kita buka dengan EmEditor, untuk memudahkan membaca file csv.
19. File csv tersebut berisi rincian semua file yang di-image, beserta nilai hash masing-masing file.
20. Selanjutnya kita akan hitung nilai hash masing-masing file tersebut dengan menggunakan HashCalc. Caranya kita buka HashCalc dan pilih ke salah satu file yang akan kita uji, di dalam folder Dokumen Pelaporan.
21. Lalu klik Calculate, dan kita bisa melihat nilai hash dari file tersebut.
22. Bandingkan dengan rincian file dan hash dari FTK pada file csv yang tadi. Kita dapatkan nilai hash yang sama untuk file tersebut, dari FTK dan HashCalc.
23. Begitu juga dengan file yang lainnya.
24. Cara ini bisa kita lakukan saat file hasil proses imaging dari FTK Imager, ingin kita uji keasliannya melalui penghitungan nilai hash, dengan mengunakan tools HashCalc.
25. Semoga bermanfaat.