Forensik Digital

Akuisisi Bukti Digital — Teknik Forensic Imaging dari Dasar

Belajar teknik akuisisi bukti digital yang benar: forensic imaging dengan FTK Imager dan dd, penggunaan write blocker, format E01 vs DD, dan prosedur yang sesuai standar SNI 27037.

Luthfi Ahmad Paradiansyah
Luthfi Ahmad Paradiansyah
Hard drive terhubung ke write blocker dengan tampilan FTK Imager di layar laptop saat proses imaging forensik
Hard drive terhubung ke write blocker dengan tampilan FTK Imager di layar laptop saat proses imaging forensik

Oke, di artikel sebelumnya kita udah bahas chain of custody — gimana caranya menjaga "riwayat hidup" barang bukti. Nah, sekarang kita masuk ke tahap yang lebih teknis: akuisisi bukti digital.

Coba lo bayangin skenario ini lagi:

Lo baru aja dipanggil ke TKP. Ada laptop tersangka di atas meja, masih nyala. Di sampingnya ada hard drive eksternal. Di laci ada 3 buah USB flash drive. Tugas lo: mengamankan semua barang bukti digital ini.

Pertanyaannya:

  • Gimana cara lo "ngopi" isi hard drive dengan benar?
  • Tools apa yang lo pakai?
  • Format apa yang lo pilih?
  • Gimana caranya memastikan hasil copy-an lo identik dengan aslinya?

Semua pertanyaan ini bakal gue jawab di artikel ini. Kita bakal bahas teknik forensic imaging dari level dasar sampai lo siap praktek. Siapkan kopi, camilan, dan konsentrasi penuh. Let's get technical!

Apa Itu Forensic Imaging?

Forensic imaging (atau akuisisi forensik) adalah proses membuat salinan bit-by-bit dari sebuah media penyimpanan — hard drive, SSD, USB, kartu memori, dll. Hasilnya disebut forensic image.

Bedanya dengan copy-paste biasa:

Aspek Copy-Paste Biasa Forensic Imaging
Apa yang dicopy File yang terlihat saja Setiap bit di media, termasuk deleted files, slack space, unallocated space
Metadata Timestamp bisa berubah Timestamp tetap seperti aslinya (kalau pakai write blocker)
Verifikasi Nggak ada Hash (MD5/SHA) untuk membuktikan keaslian
Diterima di pengadilan Tidak Ya, kalau prosedur benar

Intinya: forensic imaging itu bukan sekadar copy. Ini adalah proses yang strictly mengikuti prosedur untuk memastikan hasil copy-an forensikally sound — artinya bisa dipertanggungjawabkan secara hukum dan teknis.

Jenis-Jenis Akuisisi Forensik

Nggak semua akuisisi dilakukan dengan cara yang sama. Tergantung kondisi TKP dan jenis bukti. Ada beberapa pendekatan:

1. Dead Acquisition (Akuisisi Mati)

Ini yang paling "bersih" dan ideal. Dilakukan ketika sistem dalam keadaan mati. Lo cabut hard drive-nya, colok ke write blocker, terus imaging.

Kelebihan:

  • Nggak ada perubahan data selama proses.
  • Bisa menggunakan write blocker hardware.
  • Hasilnya paling "forensikally sound".

Kekurangan:

  • Data volatile (RAM, running process) hilang.
  • Kalau hard drive di-enkripsi — lo harus tau password-nya.

2. Live Acquisition (Akuisisi Hidup)

Dilakukan ketika sistem masih menyala. Lo imaging hard drive dari sistem yang lagi running.

Kapan lo harus live acquisition?

  • Sistem dienkripsi (BitLocker, LUKS, FileVault) — kalau lo matiin, data encrypted dan lo nggak bisa akses.
  • Data volatile (RAM) perlu diamankan DULUAN sebelum dimatikan.
  • Server produksi yang nggak bisa dimatikan (downtime nggak diizinkan).

Kekurangan:

  • Ada perubahan data yang terjadi selama imaging (file system journal, log, temporary files).
  • Hasil imaging "less forensically sound" dibanding dead acquisition.
  • Harus didokumentasikan dengan detail kenapa live acquisition dipilih.

3. Logical Acquisition

Yang ini cuma ngopi file-file tertentu — bukan seluruh disk. Biasanya dipakai untuk:

  • Smartphone (karena nggak bisa di-imaging full disk dengan mudah).
  • File server yang terlalu besar (puluhan TB) — nggak feasible di-imaging penuh.

Kekurangan: nggak mencakup deleted files dan unallocated space. Jadi kemungkinan evidence hilang lebih besar.

4. Targeted Acquisition

Mirip logical, tapi lebih spesifik. Misalnya: lo cuma perlu imaging folder tertentu, atau cuma registry hive, atau cuma file-file yang dimodifikasi dalam 7 hari terakhir.

Biasanya dipakai untuk triage — screening awal sebelum memutuskan apakah perlu full imaging.

Write Blocker: Alat Paling Penting dalam Akuisisi

Sebelum bahas tools imaging, gue wajib bahas ini dulu: write blocker.

Write blocker adalah perangkat (hardware atau software) yang mencegah sistem lo menulis apa pun ke media bukti. Fungsinya satu: melindungi integritas bukti asli.

Kenapa ini penting?

Begitu lo colokin hard drive bukti ke laptop lo, sistem operasi lo (Windows, Linux, macOS) bakal otomatis:

  • Update "last accessed" timestamp.
  • Mount file system.
  • Bikin recycle bin / trash folder.
  • Index file untuk search.
  • (Windows) Update registry untuk drive yang baru dicolok.

Semua ini MERUBAH data di hard drive bukti! Dan perubahan sekecil apa pun bisa dipakai pengacara lawan untuk membantah integritas bukti.

Hardware Write Blocker

Ini yang paling direkomendasikan. Alat fisik yang dipasang antara hard drive bukti dan komputer investigator:

[Hard Drive Bukti] → [Write Blocker] → [Komputer Investigator]

Merek yang umum dipakai:

  • Tableau (sekarang milik OpenText) — industry standard.
  • WiebeTech — lebih terjangkau.
  • CRU — berbagai model untuk berbagai interface (SATA, IDE, USB, NVMe).

Harga hardware write blocker bervariasi — dari sekitar USD 200 sampai USD 2000. Mahal, tapi ini investasi yang wajib kalau lo serius di forensik digital.

Software Write Blocker

Alternatif yang lebih murah (tapi kurang ideal) adalah software write blocker. Contohnya:

  • Windows: Regedit → set HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage\WriteProtect = 1
  • Linux: Mount drive dengan opsi ro,noexec,noatime

Masalahnya: software write blocker bergantung pada sistem operasi yang berjalan. Kalau OS-nya crash atau ada bug, write protection bisa gagal. Makanya hardware lebih direkomendasikan.

Tools Akuisisi: FTK Imager Step-by-Step

Oke, sekarang kita praktik! Gue bakal pandu lo melakukan forensic imaging dengan FTK Imager — tools gratis yang paling populer untuk akuisisi.

Persiapan

  1. Siapkan write blocker — pastikan terpasang dan berfungsi.
  2. Siapkan media tujuan — hard drive eksternal untuk menyimpan forensic image. Pastikan kapasitasnya cukup (minimal 1.5x kapasitas drive bukti untuk E01 dengan kompresi).
  3. Install FTK Imager — download dari exterro.com/ftk-imager. Gratis!

Step 1: Buka FTK Imager

Jalankan FTK Imager sebagai Administrator (Windows).

Step 2: Pilih Source

  • Klik menu File → Create Disk Image
  • Pilih source type:
    • Physical Drive — untuk imaging seluruh hard drive fisik (paling direkomendasikan).
    • Logical Drive — untuk imaging partisi tertentu.
    • Image File — untuk meng-convert forensic image dari satu format ke format lain.
    • Contents of a Folder — logical acquisition untuk folder spesifik.

Untuk praktik ini, pilih Physical Drive.

Step 3: Pilih Drive Bukti

FTK Imager bakal nunjukin semua physical drive yang terhubung. HATI-HATI: jangan salah pilih! Pastikan lo pilih drive bukti, bukan drive sistem lo sendiri.

Tips: perhatikan ukuran dan model drive, cocokkan dengan yang tercatat di form chain of custody.

Step 4: Konfigurasi Image Destination

Klik Add, pilih format:

  • Raw (dd) — bit-by-bit copy tanpa kompresi. Ukuran file = ukuran drive asli. Paling simpel, tapi boros storage.
  • E01 (EnCase/EWF) — format dengan metadata case info, kompresi, dan hash. Lebih disukai di banyak lembaga.
  • AFF — open-source format, mirip E01.

Gue rekomendasiin E01 karena:

  • Ada metadata case (case number, investigator name, dll) — penting untuk chain of custody.
  • Bisa dikompresi (menghemat storage).
  • Bisa dipecah jadi beberapa file (misal per 2GB) — memudahkan transfer.

Isi case information:

  • Case Number — nomor kasus.
  • Evidence Number — nomor barang bukti.
  • Unique Description — deskripsi singkat.
  • Examiner — nama lo.
  • Notes — catatan penting (kondisi drive, kenapa di-imaging, dll).

Step 5: Tentukan Folder Output

Pilih folder di drive tujuan tempat forensic image akan disimpan.

Beri nama file yang deskriptif, misal: EVD001_HDD_Seagate_2TB_WD123456_20250712

Step 6: Verifikasi dan Start

FTK Imager akan menampilkan ringkasan konfigurasi. Cek ulang:

  • Source drive benar?
  • Format E01?
  • Folder output benar?
  • Case info terisi?

Kalau sudah yakin, klik Start.

Proses imaging bisa memakan waktu lama — tergantung ukuran drive dan kecepatan interface. Untuk HDD 1TB via USB 3.0, bisa 3-6 jam. Sambil nunggu, isi form chain of custody dan dokumentasikan prosesnya.

Step 7: Verifikasi Hash

Setelah selesai, FTK Imager menampilkan hasil hash:

  • MD5
  • SHA-1
  • SHA-256 (opsional, bisa diaktifkan di settings)

Catat semua hash ini di form chain of custody. Ini bukti integritas image lo.

Step 8: Verifikasi Image

Sebelum lo lepas drive bukti, lakukan verifikasi:

  • Di FTK Imager: File → Image Mounting → mount image yang baru dibuat.
  • Cek apakah bisa dibaca. Buka beberapa folder, pastikan isinya wajar.
  • (Opsional) Generate hash dari image dan bandingkan dengan hash yang dicatat.

Kalau semua OK, forensic image lo siap dianalisis. Drive bukti bisa disimpan kembali ke evidence storage.

Akuisisi dengan dd di Linux

Buat lo yang lebih nyaman di Linux atau nggak bisa akses FTK Imager (misalnya di server), bisa pakai dd — tools command-line yang udah built-in di hampir semua distro Linux.

Contoh Command:

# Identifikasi drive bukti
sudo fdisk -l

# Imaging dengan dd + hashing
sudo dd if=/dev/sdb of=/mnt/evidence/EVD001.img bs=4M status=progress

# Generate hash dari image
sha256sum /mnt/evidence/EVD001.img > /mnt/evidence/EVD001.img.sha256

Penjelasan:

  • if= — input file (drive bukti). Pastikan BENAR! Jangan salah if dan of.
  • of= — output file (forensic image).
  • bs=4M — block size 4 MB untuk kecepatan optimal.
  • status=progress — menampilkan progress.

Variasi untuk Format E01:

dd cuma menghasilkan format raw. Untuk E01, lo bisa pakai:

  • Guymager (GUI Linux, mirip FTK Imager).
  • ewfacquire dari package libewf.
sudo ewfacquire /dev/sdb -t /mnt/evidence/EVD001 -S 2G -u

Akuisisi RAM (Memory Dump)

Biasanya, sebelum imaging hard drive, lo perlu akuisisi RAM dulu. Ingat prinsip order of volatility: data di RAM paling gampang hilang — dulukan.

Tools untuk Memory Dump:

Windows:

  • FTK Imager (lagi!) — File → Capture Memory.
  • DumpIt — tools kecil, portable, tinggal double-click.
  • Magnet RAM Capture — gratis, dari Magnet Forensics.
  • WinPMEM — executable dari Rekognition (bagian dari Rekall).

Linux:

  • LiME (Linux Memory Extractor) — module kernel.
  • avml — dari Microsoft, statically compiled, tinggal jalanin.

Prosedur:

  1. Copy tools memory dump ke flashdisk.
  2. Colok flashdisk ke sistem target.
  3. Jalankan tools, simpan dump ke flashdisk.
  4. Catat hash dari memory dump.
  5. Baru setelah itu lanjut ke imaging hard drive.

Peringatan: Jalankan memory dump se-minim mungkin. Setiap tools yang lo jalankan juga nulis ke RAM — ini yang disebut "footprint". Pilih tools yang footprint-nya kecil.

Akuisisi Smartphone

Smartphone lebih tricky karena sistemnya tertutup dan ada enkripsi. Metode umum:

Android:

  • ADB backup — backup data via Android Debug Bridge. Terbatas, nggak semua app bisa di-backup.
  • Root + dd — kalau HP di-root, lo bisa imaging partisi. Tapi rooting = mengubah data.
  • Cellebrite / Magnet AXIOM — tools komersial, bisa bypass banyak proteksi.

iOS:

  • iTunes backup — backup terenkripsi via iTunes. Terbatas.
  • Checkm8 exploit — jailbreak untuk iPhone tertentu, lalu bisa imaging.
  • GrayKey / Cellebrite — tools komersial mahal.

Untuk pemula, akuisisi smartphone masih challenging. Fokus dulu ke hard drive dan RAM. Nanti di artikel khusus forensik mobile kita bahas lebih detail.

Tips dan Best Practices Akuisisi

Dari pengalaman gue dan teman-teman investigator, ini tips yang perlu lo inget:

1. Selalu Pakai Write Blocker

Gue udah bilang ini berkali-kali dan bakal terus gue ulangin. NO EXCEPTION. Kalau lo nggak punya hardware write blocker, minimal pakai software write blocker + dokumentasikan dengan jelas.

2. Verifikasi Hash Sebelum dan Sesudah

Jangan cuma generate hash dari image. Generate juga hash dari drive bukti SEBELUM imaging (pakai FTK Imager), dan hash dari image SETELAH selesai. Bandingkan. Harus identik.

3. Dokumentasikan Proses

Foto setup lo. Catat setiap langkah. Simpan screenshot kalau perlu. Semua dokumentasi ini bakal jadi senjata lo kalau metodologi dipertanyakan.

4. Siapkan Storage yang Cukup

Before lo mulai imaging, pastikan drive tujuan punya cukup space. Rule of thumb:

  • Raw/dd: minimal ukuran drive bukti.
  • E01: sekitar 50-70% ukuran drive bukti (karena kompresi).

Tapi jangan pas-pasan. Siapkan margin 20-30% ekstra.

5. Jangan Multitasking

Saat proses imaging berjalan, jangan pakai laptop lo buat browsing atau buka aplikasi berat. Biarkan FTK Imager fokus. Ini mengurangi risiko crash atau corrupt image.

6. Label Fisik

Setelah selesai, tempel label fisik di hard drive bukti dan drive tujuan. Tulis: case number, evidence number, tanggal imaging, nama investigator, dan HASH.

Penutup

Akuisisi bukti digital adalah tahap pertama yang menentukan seluruh investigasi. Kalau lo salah di sini... ya udah, tamat. Nggak peduli seberapa jago analisis lo.

Tapi kabar baiknya: dengan tools gratis kayak FTK Imager dan dd, lo udah bisa melakukan akuisisi yang forensikally sound. Yang lo butuhkan adalah:

  1. Write blocker — untuk melindungi integritas.
  2. FTK Imager atau dd — untuk imaging.
  3. Form chain of custody — untuk dokumentasi.
  4. Disiplin — untuk konsisten mengikuti prosedur.

Di artikel berikutnya, kita bakal masuk ke tahap berikutnya: analisis forensic image dengan Autopsy. Lo bakal belajar cara recover file terhapus, analisis timeline, dan nemuin jejak-jejak tersembunyi. Siap-siap!

Kalau ada yang mau ditanyakan tentang akuisisi, langsung aja ke halaman Kontak. Jangan lupa cek artikel terkait di kategori Forensik Digital.

Happy imaging!

akuisisi buktiforensic imagingforensik digitalFTK Imagerwrite blockerdisk imaging

Enjoyed this article?

Share it with your network

Copied!
Luthfi Ahmad Paradiansyah

Written by

Luthfi Ahmad Paradiansyah

Saya adalah CEO Forendigi, perusahaan digital yang berfokus pada solusi forensik digital modern. Berbekal pengalaman mendalam di bidang keamanan siber, analisis data, dan investigasi teknologi, ia berhasil membawa Forendigi menjadi mitra terpercaya bagi institusi, korporasi, serta aparat penegak hukum. Di bawah kepemimpinannya, perusahaan mengembangkan inovasi untuk mengungkap bukti digital dengan akurasi tinggi, menjaga integritas data, serta meningkatkan keamanan informasi. Visi strategis dan kepemimpinan Saya menempatkan Forendigi sebagai pelopor layanan forensik digital yang profesional, adaptif, dan berstandar internasional.

Full author bioLinkedInWebsite

Related Articles

Latest Articles

View all
Visualisasi keamanan jaringan dengan benteng firewall, terowongan VPN, dan zona jaringan tersegmentasi
Keamanan Siber

Keamanan Jaringan Dasar — Firewall, VPN, dan Segmentasi untuk Pemula

Luthfi Ahmad Paradiansyah
Visualisasi social engineering dengan siluet manusia sebagai rantai terlemah dimanipulasi oleh figur bayangan
Keamanan Siber

Social Engineering — Serangan Psikologis yang Paling Mematikan di Dunia Siber

Luthfi Ahmad Paradiansyah
Brankas digital dengan gembok kuat berisi password unik, smartphone menampilkan aplikasi 2FA, dan kunci keamanan YubiKey
Keamanan Siber

Password Security & 2FA — Panduan Lengkap Mengamankan Akun Digital Anda

Luthfi Ahmad Paradiansyah
Visualisasi serangan phishing dengan kail bertopeng ikon email mencuri kredensial dari smartphone
Keamanan Siber

Phishing — Cara Mengenali, Menganalisis, dan Menghindari Serangan Paling Mematikan

Luthfi Ahmad Paradiansyah
Dokumen standar NIST SP 800-86 dan SNI 27037 dengan diagram alur proses forensik 4 tahap
Regulasi & Standar

NIST SP 800-86 — Standar Forensik Digital yang Jadi Acuan Global

Luthfi Ahmad Paradiansyah
Tampilan Wireshark dengan display filter advanced dan analisis packet detail multi-layer
Tools & Teknik

Wireshark untuk Forensik Jaringan — Filter dan Analisis Lanjutan

Luthfi Ahmad Paradiansyah