Teknik Disk Carving untuk Recovery Solid State Drive Volume ReFS dan NTFS dengan Fitur TRIM

Resilient File Sistem (ReFS) dan New Technology File System (NTFS) memiliki informasi metadata yang berbeda, sehingga membuat proses pemulihan data yang telah dihapus secara permanen menjadi sulit. Ini disebabkan oleh fakta bahwa alat analisis forensik yang umum digunakan bergantung pada tabel master file sistem yang tidak dapat dibaca pada volume ReFS. Perbedaan dalam metadata ini juga memengaruhi fitur TRIM pada Solid State Drive (SSD). Penelitian ini bertujuan untuk menguji pengaruh Teknik Disk Carving pada SSD dengan volume ReFS dan NTFS. Kami menggunakan metode Forensika Langsung yang mengikuti Standar Nasional Indonesia (SNI) 27037:2014. Metode ini dipilih karena memungkinkan kami untuk mengambil lebih banyak data dengan menggunakan alat seperti FTKImager. Kami mengumpulkan 34 sampel data dari volume ReFS dan 34 sampel data dari volume NTFS pada SSD dengan TRIM dinonaktifkan dan diaktifkan. Hasil penelitian menunjukkan bahwa data yang berhasil dipulihkan pada SSD dengan TRIM aktif adalah sekitar 9% pada volume NTFS, sementara pada volume ReFS data yang berhasil dipulihkan adalah 0%. Namun, pada SSD dengan TRIM dinonaktifkan semua data berhasil dipulihkan pada volume NTFS, sementara pada volume ReFS sekitar 74% data berhasil dipulihkan. Kesimpulannya setelah penelitian ini, data pada sistem file ReFS dengan TRIM dinonaktifkan dapat dibaca kembali melalui teknik disk carving. Sistem file juga memengaruhi SSD dengan fitur TRIM yang diaktifkan. Setelah pemulihan data pada volume ReFS dengan TRIM aktif, data akan muncul dalam bentuk folder tanpa nilai HASH, sementara pada volume NTFS dengan TRIM aktif, data tetap utuh tetapi sebagian besar memiliki nilai kunci HASH yang berbeda dari file aslinya.