Autopsy Step-by-Step — Panduan Lengkap Analisis Forensic Image

Oke, di artikel pengantar tools kemarin, gue udah kenalin Autopsy sebagai "kantor pusat" analisis forensik. Sekarang waktunya lo duduk di kursi investigator dan beneran pakai tools ini.

Di artikel ini, gue bakal pandu lo step-by-step menggunakan Autopsy untuk menganalisis forensic image. Bukan cuma teori — lo bakal ikutin workflow investigator beneran. Dari bikin case baru, import image, menjalankan ingest modules, sampai menganalisis hasil.

Siapkan kopi. Buka Autopsy. Kita mulai.

Kenapa Autopsy?

Sebelum mulai teknis, kita refresh: Autopsy adalah GUI frontend untuk Sleuth Kit — library forensik open-source yang sudah jadi standar industri. Autopsy bikin proses analisis jadi visual dan interaktif — lo bisa eksplorasi file system kayak Windows Explorer, tapi dengan kemampuan forensik.

Yang bikin Autopsy istimewa:

• Gratis dan open source — nggak ada alasan untuk nggak belajar.
• Multi-platform — Windows, Linux, macOS.
• Modular — ingest modules yang bisa disesuaikan.
• Komunitas besar — banyak tutorial, forum, dan dokumentasi.

Instalasi Autopsy

Windows:

Download installer dari autopsy.com. Install seperti aplikasi biasa.

Linux (Direkomendasikan: SIFT Workstation):

SIFT Workstation udah include Autopsy + semua dependencies. Tinggal jalankan.

# Di SIFT
sudo autopsy

Dari source (Linux):

git clone https://github.com/sleuthkit/autopsy.git
cd autopsy
# Ikuti petunjuk di README

Step 1: Membuat Case Baru

Begitu lo buka Autopsy, lo bakal disambut welcome screen. Klik "Create New Case".

Isi:

• Case Name — nama kasus. Gunakan format yang deskriptif: CAS-2026-001_Server_HR_Digital_Intrusion
• Base Directory — folder di mana semua data kasus akan disimpan. Jangan di drive yang sama dengan forensic image!
• Case Number — nomor kasus dari sistem manajemen kasus lo.
• Examiner — nama lo dan informasi kontak.

Klik Finish. Case lo udah siap.

Step 2: Menambahkan Data Source

Sekarang lo perlu nambahin forensic image yang mau dianalisis. Di layar "Add Data Source":

1. Pilih "Disk Image or VM File" — kalau lo punya forensic image (E01, DD, AFF).
2. Browse ke file image lo.
3. Pilih timezone yang sesuai dengan lokasi TKP. Ini penting untuk timeline analysis!
4. Klik Next.

Konfigurasi Ingest Modules

Ini bagian paling penting. Ingest modules adalah plugin yang berjalan OTOMATIS begitu image dibuka. Mereka melakukan analisis basic dan populate database Autopsy.

Module yang WAJIB diaktifkan:

Jangan aktifin semua module sekaligus — beberapa butuh waktu lama. Untuk analisis awal, cukup:

• Recent Activity
• Hash Lookup
• File Type Identification
• Exif Parser
• Keyword Search

Setelah selesai ingest (bisa memakan waktu 5-30 menit tergantung ukuran image), lo siap analisis.

Step 3: Navigasi Interface Analisis

Setelah ingest selesai, lo masuk ke interface utama Autopsy. Ada beberapa panel penting:

1. Data Sources (kiri atas)

Struktur file system dari image. Lo bisa browse seperti di Windows Explorer. Bedanya:

• File yang dihapus ditandai dengan silang merah.
• File sistem ditandai berbeda.
• Lo bisa klik kanan untuk berbagai opsi: extract, tag, bookmark, dll.

2. Views (tengah)

Ini area utama. Lo bisa pilih berbagai view:

• File Types — grouping file berdasarkan tipe (gambar, video, dokumen, executable).
• Deleted Files — semua file yang dihapus tapi masih recoverable.
• File Size — filter file berdasarkan ukuran.
• Data Artifacts — artefak hasil ingest modules (web history, recent docs, dll).

3. Content Viewer (kanan bawah)

Menampilkan isi file yang dipilih. Support:

• Text/Hex preview
• Gambar
• Video
• SQLite database
• Web history
• Email

4. Keyword Search (kanan atas)

Fungsi search untuk mencari keyword spesifik di seluruh image. Lo bisa cari:

• Nama file
• Kata kunci di konten file
• Regular expression

Step 4: Analisis Data Artifacts

Ini bagian yang paling powerful. Data Artifacts berisi hasil ekstraksi otomatis dari ingest modules.

Web History

Autopsy mengekstrak history browser dari Chrome, Firefox, Edge, dan lainnya. Lo bisa liat:

• URL yang dikunjungi
• Tanggal dan jam akses
• Frekuensi kunjungan
• Bookmark
• Download history

Di sinilah lo sering nemuin bukti penting. Karyawan yang akses situs kompetitor. Tersangka yang search "cara menghilangkan sidik jari". Atau malware yang di-download dari link mencurigakan.

Recent Documents

File yang baru dibuka oleh user. Windows menyimpan shortcut di folder Recent. Autopsy mengekstrak dan menampilkan ini dengan rapi — termasuk path asli, tanggal akses, dan link ke file terkait.

Shellbags & Jump Lists

Shellbags menyimpan setting tampilan folder (ukuran, posisi, view mode). Tapi dari shellbags, lo bisa tau folder apa aja yang pernah dibuka user — termasuk folder yang udah dihapus! Jump lists menyimpan file yang sering diakses per aplikasi.

USB Device History

Autopsy bisa menampilkan USB device yang pernah dicolok ke komputer:

• Vendor ID, Product ID, Serial Number
• Pertama kali dicolok
• Terakhir kali dicolok
• Volume name

Ini penting banget untuk kasus pencurian data: siapa yang colokin flashdisk? Jam berapa? Flashdisk apa?

Installed Programs

Daftar software yang terinstall. Cek: ada tools hacking? Ada software yang nggak standar? Ada VPN atau anonymizer?

Step 5: File Recovery — Mengembalikan File yang Dihapus

Salah satu kekuatan terbesar forensik digital: file yang dihapus belum tentu benar-benar hilang.

Di Autopsy, buka view "Deleted Files". Lo bakal lihat semua file yang terdeteksi sebagai "deleted" tapi masih bisa direcover.

Klik kanan file → "Extract File" untuk menyimpan file yang direcover.

Kenapa File Bisa Direcover?

Saat lo "hapus" file di Windows:

1. File nggak benar-benar dihapus — cuma entri di MFT (Master File Table) ditandai sebagai "available".
2. Data file masih ada di disk — sampai ditimpa oleh file baru.
3. Selama belum ditimpa, lo bisa recover dengan tools forensik.

Tips Recovery:

• Cepat-cepat. Begitu lo dapet image, langsung analisis. Jangan tunda — semakin lama, semakin besar kemungkinan data ditimpa.
• Recover semua. Jangan cuma file yang lo cari. Recover semua deleted files — siapa tau ada yang relevan.
• Cek file corrupt. File yang direcover belum tentu utuh. Sebagian mungkin corrupt karena sebagian sudah tertimpa.

Step 6: Timeline Analysis

Timeline adalah salah satu fitur paling powerful di Autopsy. Lo bisa melihat kronologi aktivitas user berdasarkan:

• File Modified, Accessed, Created (MAC) times
• Web history timestamps
• Email dates
• Registry timestamps

Buka Tools → Timeline. Pilih rentang waktu, dan Autopsy menampilkan semua aktivitas dalam bentuk timeline interaktif.

Cara Baca Timeline:

Cari cluster aktivitas mencurigakan. Misalnya:

• 14:30 — USB dicolok.
• 14:32 — File rahasia dibuka.
• 14:33 — File di-copy ke USB.
• 14:35 — USB dicabut.

Ini jelas banget: data exfiltration via USB.

Gunakan filter untuk fokus:

• Cuma file activity
• Cuma web history
• Cuma aktivitas di jam tertentu

Step 7: Keyword Search

Keyword search di Autopsy sangat powerful. Lo bisa:

1. Single keyword — cari satu kata di seluruh image.
2. Exact phrase — cari frase spesifik (pakai tanda kutip).
3. Regex — regular expression untuk pattern kompleks.
   • Email: [a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}
   • Credit card: \b(?:\d[ -]*?){13,16}\b
   • IP address: \b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b
4. Substring match — case sensitive atau tidak.

Keyword search mencari di:

• Nama file
• Konten file (teks yang bisa diekstrak)
• Metadata (EXIF, document properties)
• Unallocated space (ruang kosong di mana data tersembunyi mungkin ada)

Pro tip: bikin daftar keyword SEBELUM analisis. Pikirkan: kasus ini tentang apa? Data apa yang mungkin dicari tersangka? Istilah apa yang mungkin muncul di komunikasi?

Step 8: Reporting

Setelah analisis selesai, lo perlu bikin laporan. Autopsy punya fitur report generation:

Tools → Generate Report

Pilih format:

• HTML — bisa dibuka di browser, interaktif.
• Excel — spreadsheet untuk analisis lanjutan.
• Text — plain text sederhana.
• KML — untuk data geolokasi (bisa dibuka di Google Earth!).

Pilih data yang mau dimasukkan:

• File inventory
• Data artifacts
• Tagged results (file yang lo tandai selama analisis)
• Keyword hits

Report Autopsy bisa jadi lampiran laporan investigasi lo.

Latihan Mandiri

Coba latihan ini dengan Autopsy:

1. Download forensic image sample dari Digital Corpora atau CFReDS.
2. Bikin case baru di Autopsy, import image.
3. Jalankan ingest dengan modul: Recent Activity, File Type ID, Exif Parser, Keyword Search.
4. Temukan dan catat:
   • 5 file yang dihapus dan bisa direcover.
   • 3 URL yang dikunjungi di browser.
   • Semua USB device yang pernah dicolok.
   • Aktivitas di jam 10:00-12:00 pada hari tertentu (pakai timeline).
   • File gambar dengan EXIF GPS coordinates.
5. Generate report HTML.

Kalau lo udah bisa menyelesaikan latihan ini dengan lancar... lo udah bisa pakai Autopsy untuk kasus beneran.

Penutup

Autopsy adalah tools yang wajib dikuasai setiap investigator digital. Dengan Autopsy, lo bisa:

• Eksplorasi file system
• Recovery file terhapus
• Analisis web history dan artefak user
• Timeline analysis
• Keyword search di seluruh image

Dan semuanya GRATIS.

Di artikel berikutnya, kita bakal deep dive ke Volatility 3 — tools untuk analisis memory dump. Lo bakal belajar plugin-plugin advanced dan teknik mendeteksi malware tersembunyi di RAM.

Punya pertanyaan tentang Autopsy? Kontak aja. Cek juga Tools & Teknik untuk artikel lainnya.

Sekarang, buka Autopsy. Mulai eksplorasi. Dan ingat: setiap file punya cerita — tugas lo adalah menemukannya.

Skenario Latihan Lengkap: Kasus Pencurian Data

Biar lo nggak cuma baca tapi langsung praktek, gue kasih skenario lengkap:

Kasus: Seorang karyawan bernama Budi dicurigai mencuri data pelanggan sebelum resign. Lo dapet forensic image dari laptop Budi (Windows 10). Tugas lo: temukan bukti pencurian data.

Langkah 1: Bikin case baru

• Case Name: CAS-2026-003_Budi_DataTheft
• Import forensic image budi-laptop.E01
• Aktifkan ingest modules: Recent Activity, File Type ID, Exif Parser, Extension Mismatch Detector, Keyword Search

Langkah 2: Analisis USB Device History

• Buka Data Artifacts → USB Device Activity
• Temukan: USB dengan serial number 4C530001191225109182 dicolok pada jam 16:45, dicabut jam 17:02
• Ini mendekati jam pulang kantor. Mencurigakan.

Langkah 3: Timeline Analysis

• Buka Tools → Timeline
• Filter jam 16:00-17:30
• Temukan urutan: 16:42 - folder D:\DataPelanggan dibuka → 16:45 - USB dicolok → 16:50 - file customer_db.xlsx diakses → 16:55 - file dicopy → 17:02 - USB dicabut

Langkah 4: Keyword Search

• Search: "customer" → 45 hits
• Search: "password" → 12 hits, termasuk file password_list.txt yang diakses sebelum copy data
• Search: regex email → 3 file CSV berisi data pelanggan ditemukan

Langkah 5: Recovery Deleted Files

• Buka Deleted Files view
• Temukan: customer_db_backup.xlsx dihapus pada jam 17:05 (SETELAH USB dicabut — kemungkinan menghapus jejak)
• Recover file tersebut

Langkah 6: Generate Report

• Tag semua temuan penting
• Generate HTML report
• Report ini siap diserahkan ke manajemen/HR sebagai bukti pelanggaran

Dengan skenario ini, lo udah simulasi kasus beneran. Coba ulangi dengan image berbeda — makin sering latihan, makin intuitif analisisnya.

Troubleshooting Umum Autopsy

Beberapa masalah yang sering ditemui pemula:

1. "Out of Memory" error. Autopsy butuh RAM cukup. Untuk image besar (>500GB), pastikan RAM minimal 16GB. Kalau tetap error, kurangi ingest modules yang aktif — nonaktifkan yang tidak perlu seperti Email Parser atau Android Analyzer.

2. Ingest terlalu lama. Untuk image besar, ingest bisa 6-12 jam. Tips: jalankan ingest semalaman, gunakan SSD untuk case directory, dan aktifkan hanya module yang diperlukan. Recent Activity dan Hash Lookup cukup untuk screening awal.

3. File tidak bisa dibuka. Beberapa file mungkin encrypted atau corrupt. Autopsy akan menandai file yang tidak bisa dibaca. Jangan paksa — catat sebagai temuan dan lanjutkan.

4. Keyword search tidak menemukan apa-apa. Pastikan Keyword Search ingest module dijalankan. Kalau sudah tapi masih kosong, file mungkin dalam format yang tidak bisa di-index (gambar scan, PDF tanpa OCR). Gunakan tools eksternal seperti strings untuk file tersebut.

5. Case database corrupt. Jarang terjadi, tapi bisa. Selalu backup case database sebelum update Autopsy. Simpan forensic image di lokasi terpisah — image tidak akan rusak meskipun case corrupt, lo tinggal bikin case baru.