Akuisisi Digital Forensik Dengan FTK IMAGER Studi kasus Flashdisk 4 GB

 NAMA : ONA ANISA

NIM  : 24142004P

KELAS : IF6KP

MATA KULIAH : COMPUTER FORENSIC

DOSEN : SURYAYUSRA. M.Kom

Universitas Bina Darma https://www.binadarma.ac.id



AKUISISI DIGITAL FORENSIK DENGAN FTK IMAGER

Studi Kasus: Flashdisk 4 GB


1. PENGERTIAN AKUISISI DIGITAL FORENSIK

1.1 Definisi Akuisisi

Dalam disiplin ilmu forensika digital, akuisisi merujuk pada serangkaian prosedur terstruktur yang bertujuan mengumpulkan dan mengamankan data dari perangkat penyimpanan digital dengan cara yang tidak mengubah kondisi asli data tersebut. Secara esensial, akuisisi merupakan langkah pertama dan paling kritis dalam seluruh siklus investigasi forensik digital, karena kesalahan pada tahap ini dapat merusak integritas seluruh proses yang berikutnya.

Proses akuisisi dilakukan dengan menciptakan salinan bit-demi-bit (bit-for-bit copy) dari perangkat sumber ke dalam sebuah file image forensik. Berbeda dengan proses penyalinan file konvensional yang hanya menduplikasi file dan folder yang terlihat, akuisisi forensik menjangkau seluruh sektor penyimpanan secara menyeluruh tanpa terkecuali, termasuk ruang yang tampak kosong, data yang telah dihapus, fragmen file, slack space, serta metadata tersembunyi. Pendekatan ini memastikan bahwa tidak ada informasi yang luput dari proses dokumentasi.

1.2 Akuisisi Fisik vs. Akuisisi Logis

Secara metodologis, akuisisi digital forensik dapat dibagi menjadi dua pendekatan utama yang memiliki cakupan dan kegunaan berbeda:

        Akuisisi Fisik (Physical Acquisition): Metode ini menyalin seluruh isi perangkat penyimpanan sektor demi sektor tanpa memandang sistem berkas yang digunakan. Akuisisi fisik menjadi pilihan utama dalam investigasi yang membutuhkan kelengkapan data, karena mampu memulihkan file yang sudah dihapus, data tersembunyi, serta artefak yang tidak tampak pada antarmuka sistem berkas.

        Akuisisi Logis (Logical Acquisition): Metode ini hanya menyalin sistem berkas aktif beserta file-file yang masih terdaftar di dalamnya. Meskipun lebih cepat dan menghasilkan ukuran image yang lebih kecil, metode ini tidak menjangkau data pada sektor yang tidak dialokasikan, sehingga kurang komprehensif dibandingkan akuisisi fisik.

 

Untuk studi kasus flashdisk 4 GB ini, metode akuisisi fisik menjadi pendekatan yang direkomendasikan karena memastikan seluruh konten media, termasuk file yang mungkin telah dihapus oleh pengguna, dapat ditangkap secara lengkap ke dalam image forensik.

1.3 Konsep Forensic Image

Produk akhir dari proses akuisisi adalah sebuah forensic image, yaitu representasi digital yang identik dengan perangkat sumber pada tingkat bit terkecil. Image ini berfungsi sebagai "cadangan forensik" yang menjadi objek analisis lebih lanjut, sementara perangkat asli disimpan dan dilindungi sebagai barang bukti primer. FTK Imager mendukung beberapa format image yang umum digunakan di industri, di antaranya format E01 (Expert Witness Format), RAW/DD, serta AFF (Advanced Forensic Format). Format E01 menjadi pilihan populer karena mendukung kompresi data, penyimpanan metadata kasus, serta verifikasi integritas secara terintegrasi.

 

2. TUJUAN AKUISISI DIGITAL FORENSIK

Proses akuisisi dalam digital forensik tidak sekadar menyalin data; ia memiliki serangkaian tujuan strategis yang saling berkaitan dan membentuk fondasi investigasi yang sah secara hukum.

2.1 Preservasi dan Perlindungan Integritas Bukti

Tujuan paling mendasar dari akuisisi adalah memastikan bahwa kondisi data pada perangkat digital tetap terjaga dan tidak mengalami perubahan sekecil apapun selama proses pemeriksaan berlangsung. Investigator forensik bekerja eksklusif pada salinan image, bukan pada perangkat asli, sehingga integritas barang bukti primer selalu terjamin. Verifikasi integritas ini dilakukan secara matematis melalui penghitungan nilai hash kriptografi—umumnya menggunakan algoritma MD5 dan SHA-1—pada perangkat sumber maupun pada image yang dihasilkan. Kesesuaian nilai hash antara keduanya menjadi bukti ilmiah bahwa salinan forensik merupakan replika yang persis dan tidak mengalami manipulasi.

2.2 Pemulihan Data Tersembunyi dan Data Terhapus

Salah satu keunggulan fundamental akuisisi forensik dibandingkan penyalinan biasa adalah kemampuannya untuk menangkap data yang tidak lagi terlihat melalui antarmuka sistem berkas standar. Ketika pengguna menghapus file dari flashdisk, sistem operasi hanya menandai sektor-sektor yang sebelumnya ditempati file tersebut sebagai "tersedia", namun data aktual masih tetap ada hingga ditimpa oleh data baru. Akuisisi bit-for-bit memungkinkan seluruh sektor tersebut ikut tersalin, sehingga investigator dapat mengupayakan pemulihan file melalui teknik file carving pada tahap analisis selanjutnya.

2.3 Keabsahan Hukum dan Admissibilitas Bukti

Bukti digital yang diperoleh melalui proses akuisisi yang tidak standar memiliki risiko tinggi untuk ditolak dalam proses peradilan. Akuisisi yang dilakukan sesuai kaidah forensik—melibatkan write blocker, dokumentasi yang lengkap, dan verifikasi hash—menghasilkan bukti yang memenuhi syarat forensic soundness, yaitu dapat dipertanggungjawabkan secara ilmiah dan diterima sebagai alat bukti yang sah di pengadilan.

2.4 Pemeliharaan Chain of Custody

Akuisisi yang terdokumentasi dengan baik membangun dan memelihara rantai penguasaan bukti (chain of custody) yang tidak terputus. Setiap individu yang berinteraksi dengan barang bukti digital, mulai dari penyitaan di lapangan hingga presentasi di ruang sidang, harus tercatat secara kronologis. Pemutusan atau ketidaklengkapan dokumentasi chain of custody dapat menyebabkan seluruh bukti digital digugurkan dalam proses hukum, bahkan jika bukti tersebut valid secara teknis.

2.5 Efisiensi dan Non-Destruktivitas

Akuisisi forensik bersifat non-destruktif, artinya proses ini tidak mengubah, menambah, atau menghapus data apapun pada perangkat sumber. Hal ini memungkinkan dilakukannya akuisisi ulang jika diperlukan, atau dilakukan verifikasi independen oleh pihak lain tanpa mengorbankan keutuhan barang bukti asli.

 

3. DASAR TEORI AKUISISI DIGITAL FORENSIK

3.1 Prinsip Forensic Soundness

Konsep forensic soundness merupakan kerangka kerja ilmiah yang mengikat seluruh praktik digital forensik. Sebuah metode akuisisi disebut forensically sound apabila memenuhi tiga syarat utama: dapat diulang (repeatable), dapat diverifikasi (verifiable), dan diterima secara luas oleh komunitas forensik (peer-accepted). Ketiga syarat ini menjamin bahwa hasil investigasi yang dihasilkan bukan sekadar klaim satu pihak, melainkan temuan yang dapat diuji secara independen.

Dalam praktiknya, prinsip ini mengharuskan investigator untuk mendokumentasikan setiap langkah yang dilakukan, termasuk spesifikasi perangkat keras, versi software yang digunakan, serta parameter akuisisi yang diterapkan. Standar internasional seperti ISO/IEC 27037 memberikan panduan teknis yang dijadikan acuan dalam pelaksanaan prinsip forensic soundness.

3.2 Hash Kriptografi sebagai Sidik Jari Digital

Algoritma hash kriptografi merupakan tulang punggung verifikasi integritas dalam digital forensik. Fungsi hash adalah fungsi matematika satu arah yang mengolah input berukuran sembarang menjadi output berukuran tetap (disebut nilai hash atau checksum). Karakteristik kunci yang menjadikannya ideal untuk forensik adalah sifat deterministiknya: input yang sama selalu menghasilkan nilai hash yang persis sama, sedangkan perubahan sekecil apapun pada input—bahkan hanya satu bit—akan menghasilkan nilai hash yang sepenuhnya berbeda.

Dalam proses akuisisi flashdisk 4 GB menggunakan FTK Imager, nilai hash MD5 dan SHA-1 dikalkulasi secara otomatis baik pada perangkat sumber maupun pada image yang dihasilkan. Kesesuaian kedua nilai hash tersebut menjadi bukti matematis yang tidak terbantahkan bahwa image forensik merupakan replika akurat dari perangkat asli tanpa modifikasi apapun.

3.3 Write Blocker: Pelindung Integritas Hardware

Write blocker atau forensic bridge adalah perangkat keras yang berfungsi sebagai gerbang satu arah antara perangkat bukti dan workstation forensik. Secara fisik, write blocker mencegah workstation mengirimkan perintah tulis (write command) ke perangkat sumber, sementara tetap mengizinkan pembacaan data secara normal. Tanpa write blocker, sistem operasi modern dapat secara otomatis memodifikasi metadata, memperbarui timestamps akses, atau bahkan menulis data ke perangkat bukti pada saat koneksi pertama kali terjadi.

Dalam konteks studi kasus flashdisk 4 GB ini, write blocker berbasis USB menjadi pilihan praktis mengingat antarmuka yang digunakan. Merek-merek yang umum digunakan di lingkungan forensik profesional antara lain Tableau (kini bagian dari OpenText) dan WiebeTech, yang keduanya telah mendapat pengakuan dari komunitas dan lembaga penegak hukum internasional.

3.4 Format Image E01 (Expert Witness Format)

Format E01 atau Expert Witness Format merupakan standar de facto dalam industri forensik digital yang dikembangkan oleh EnCase (OpenText). Format ini menyimpan data image dalam struktur tersegmentasi yang dapat dikompres, dilengkapi dengan metadata kasus (seperti nomor kasus, nama examiner, dan deskripsi barang bukti) serta checksum internal yang memungkinkan deteksi kerusakan pada setiap segmen file. FTK Imager mendukung penuh pembacaan dan penulisan format E01, menjadikannya interoperable dengan berbagai platform analisis forensik lainnya.

3.5 Chain of Custody dalam Ranah Digital

Rantai penguasaan bukti (chain of custody) adalah rekam jejak dokumentasi yang mencatat secara kronologis setiap perpindahan tangan, modifikasi prosedural, dan akses terhadap barang bukti sejak saat pertama kali disita hingga dihadirkan di persidangan. Dalam forensika digital, chain of custody memiliki kompleksitas lebih tinggi dibandingkan forensik konvensional karena bukti digital bersifat mudah dimodifikasi dan direplikasi.

Dokumentasi chain of custody dalam akuisisi digital mencakup: identitas examiner, tanggal dan waktu akuisisi, spesifikasi lengkap perangkat sumber (merek, model, nomor seri), spesifikasi perangkat tujuan, software forensik beserta versinya, parameter akuisisi yang digunakan, nilai hash sebelum dan sesudah akuisisi, serta kondisi fisik perangkat saat diterima. Kecacatan pada satu titik dokumentasi ini dapat membuka celah bagi pihak yang berperkara untuk mempermasalahkan keabsahan seluruh rangkaian bukti digital.

3.6 Metode Akuisisi Live vs. Static

Berdasarkan kondisi perangkat saat akuisisi dilakukan, terdapat dua pendekatan yang dapat dipilih. Akuisisi statis (static acquisition) dilakukan pada perangkat yang dalam kondisi mati (offline), sehingga data dalam kondisi tidak berubah. Inilah metode yang diterapkan pada studi kasus flashdisk 4 GB ini. Sebaliknya, akuisisi langsung (live acquisition) dilakukan pada sistem yang masih aktif berjalan, umumnya dipilih ketika investigator perlu menangkap data volatil seperti konten RAM, koneksi jaringan yang aktif, atau proses yang sedang berjalan. FTK Imager mendukung kedua metode tersebut.

 

4. PERALATAN DAN SOFTWARE AKUISISI

4.1 Peralatan Hardware yang Dibutuhkan

Keberhasilan proses akuisisi digital forensik bergantung pada ketersediaan dan keandalan perangkat keras yang digunakan. Tabel berikut merangkum peralatan hardware yang dibutuhkan dalam akuisisi flashdisk 4 GB:

 

No.

Peralatan / Hardware

Fungsi Utama

Keterangan

1

Forensic Workstation (PC/Laptop)

Menjalankan FTK Imager & menyimpan image

Minimal RAM 8 GB, SSD

2

Hardware Write Blocker

Mencegah penulisan data ke media bukti

Tableau, WiebeTech, dll.

3

Flashdisk / USB Drive (Barang Bukti)

Media penyimpanan yang diakuisisi

Dalam studi kasus ini: 4 GB

4

Harddisk Eksternal (Destination)

Menyimpan file image forensik

Kapasitas minimal 2x ukuran bukti

5

Kabel USB / Adapter

Menghubungkan media bukti ke write blocker

Sesuai interface perangkat

 

4.1.1 Forensic Workstation

Workstation forensik adalah komputer yang digunakan untuk menjalankan software akuisisi dan menyimpan image yang dihasilkan. Untuk keperluan ini, mesin yang digunakan idealnya memiliki spesifikasi yang memadai: prosesor multi-core berkecepatan tinggi untuk mempercepat proses hashing, RAM minimal 8 GB, dan penyimpanan NVMe SSD untuk case data aktif. Untuk studi kasus flashdisk 4 GB, workstation dengan spesifikasi standar sudah lebih dari mencukupi mengingat ukuran media yang relatif kecil.

4.1.2 Hardware Write Blocker

Perangkat ini tidak dapat disubstitusi dengan solusi software dalam investigasi yang berorientasi pada standar forensik tertinggi. Write blocker hardware secara fisik memblokir semua sinyal tulis dari workstation ke media bukti, memberikan jaminan proteksi yang jauh lebih andal dibandingkan write blocking berbasis driver perangkat lunak. Untuk flashdisk yang menggunakan antarmuka USB, diperlukan USB write blocker yang kompatibel dengan standar USB 2.0 maupun USB 3.0.

4.2 Software yang Digunakan

Ekosistem software dalam akuisisi digital forensik mencakup tool utama akuisisi beserta perangkat pendukung analisis dan verifikasi. Tabel berikut merincikan software yang relevan:

 

No.

Software / Tool

Fungsi

Lisensi

1

FTK Imager (Exterro)

Akuisisi & pembuatan forensic image

Gratis (freeware)

2

Autopsy

Analisis image hasil akuisisi

Open Source

3

HashCalc / CertUtil

Verifikasi nilai hash MD5/SHA-1

Gratis

4

Windows 10/11 Pro

Sistem operasi host forensic workstation

Berlisensi

5

SANS SIFT Workstation

Distro Linux forensik alternatif

Open Source

 

4.2.1 FTK Imager (Forensic Toolkit Imager)

FTK Imager yang dikembangkan oleh Exterro (sebelumnya AccessData) merupakan standar industri yang paling banyak digunakan oleh investigator forensik digital di seluruh dunia. Tool ini tersedia secara gratis dan menawarkan serangkaian kapabilitas yang komprehensif untuk kebutuhan akuisisi. Keunggulan utama FTK Imager meliputi:

        Pembuatan forensic image dalam format E01, RAW/DD, dan AFF secara forensically sound

        Verifikasi integritas image secara otomatis melalui kalkulasi hash MD5 dan SHA-1

        Pratinjau isi perangkat sebelum dan sesudah akuisisi tanpa mengubah data sumber

        Dukungan akuisisi RAM untuk menangkap data volatil dari sistem yang sedang aktif

        Pembuatan laporan akuisisi yang terstruktur dan dapat dijadikan dokumentasi resmi

        Antarmuka grafis yang intuitif, memudahkan penggunaan bahkan bagi investigator pemula

 

FTK Imager secara internal menghasilkan sebuah file log teks setelah akuisisi selesai. File ini memuat informasi lengkap kasus, spesifikasi teknis perangkat, nilai hash yang terkalkulasi, serta waktu mulai dan selesainya proses. Dokumen log ini menjadi bagian integral dari dokumentasi chain of custody.

4.2.2 Autopsy (Platform Analisis Forensik)

Meskipun bukan tool akuisisi primer, Autopsy berperan penting dalam fase analisis pasca-akuisisi. Platform open source ini mampu mengimpor image E01 yang dihasilkan FTK Imager dan melakukan analisis mendalam, termasuk pemulihan file terhapus, analisis timeline aktivitas, pencarian kata kunci, serta ekstraksi artefak digital yang relevan.

4.2.3 Verifikasi Hash Mandiri

Selain verifikasi yang dilakukan secara otomatis oleh FTK Imager, investigator yang mengikuti praktik terbaik forensik dianjurkan untuk melakukan verifikasi hash secara mandiri menggunakan tool independen. Di lingkungan Windows, utilitas baris perintah CertUtil dapat dimanfaatkan untuk mengkalkulasi nilai MD5 atau SHA-1 dari file image, memberikan lapisan konfirmasi tambahan yang independen dari software akuisisi.

4.3 Alur Kerja Akuisisi Flashdisk 4 GB dengan FTK Imager

Secara prosedural, akuisisi flashdisk 4 GB menggunakan FTK Imager mengikuti alur kerja terstruktur berikut:

1.     Persiapan dan dokumentasi awal: Catat kondisi fisik flashdisk, nomor seri, dan kapasitas. Isi formulir chain of custody sebelum menyentuh perangkat.

2.     Koneksikan write blocker ke workstation forensik, lalu sambungkan flashdisk ke port write blocker. Pastikan status proteksi write blocker aktif (umumnya ditandai lampu indikator).

3.     Jalankan FTK Imager dengan hak administrator. Navigasikan ke menu File → Create Disk Image dan pilih sumber Physical Drive.

4.     Pilih flashdisk dari daftar drive yang terdeteksi. Pastikan identifikasi drive sudah tepat sebelum melanjutkan.

5.     Tentukan format image (rekomendasikan E01), lokasi penyimpanan image pada drive tujuan, nama file, dan isi metadata kasus (nomor kasus, nama examiner, deskripsi barang bukti).

6.     Aktifkan opsi Verify images after they are created agar FTK Imager secara otomatis menghitung dan mencocokkan nilai hash setelah akuisisi.

7.     Klik Start dan tunggu proses akuisisi selesai. Durasi bergantung pada kapasitas dan kecepatan baca perangkat.

8.     Tinjau laporan akuisisi yang dihasilkan. Catat nilai MD5 dan SHA-1 ke dalam formulir chain of custody sebagai bukti integritas.

 

 Video Tutorial Akuisisi FTK Imager 



5. PENUTUP

Akuisisi digital forensik merupakan tahapan yang tidak dapat dikompromikan dalam setiap investigasi yang melibatkan bukti digital. Penerapan prosedur yang tepat—mulai dari penggunaan write blocker hardware, pemilihan software forensik yang tervalidasi seperti FTK Imager, hingga dokumentasi chain of custody yang menyeluruh—menentukan apakah temuan investigasi dapat dipertanggungjawabkan secara ilmiah dan diterima secara hukum.

Pada studi kasus flashdisk 4 GB ini, kombinasi antara akuisisi fisik bit-for-bit menggunakan FTK Imager dan verifikasi integritas berbasis hash kriptografi menghasilkan bukti digital yang memenuhi standar forensic soundness. Prinsip-prinsip yang telah dibahas dalam makalah ini bersifat universal dan berlaku tidak hanya untuk flashdisk, melainkan juga untuk berbagai jenis media penyimpanan digital lainnya dalam investigasi yang lebih kompleks.


REFERENSI

[1]  Exterro, Inc. (2024). FTK Imager: Industry-Standard Forensic Imaging Tool. https://www.exterro.com/digital-forensics-software/ftk-imager

[2]  LevelBlue. (2026). A Guide to Digital Forensics Data Acquisition with FTK Imager. https://www.levelblue.com/blogs/levelblue-blog/a-guide-to-digital-forensics-data-acquisition-with-ftk-imager

[3]  Hawk Eye Forensic. (2025). The Role of Hash Values in Digital Evidence Integrity. https://hawkeyeforensic.com

[4]  NetworkersHome. (2026). Digital Forensics Basics: Evidence Collection & Chain of Custody. https://www.networkershome.com

[5]  Belkasoft. (2022). Preserving Chain of Custody in Digital Forensics. https://belkasoft.com/preserving_chain_of_custody

[6]  IEEE Xplore. (2021). Comparative Analysis of Acquisition Methods in Digital Forensics. https://ieeexplore.ieee.org/document/9514970

[7]  SANS Institute. (2025). Forensics 101: Acquiring an Image with FTK Imager. https://www.sans.org/blog/forensics-101-acquiring-an-image-with-ftk-imager

[8]  ExamCollection Blog. (2025). Mastering Disk Image Acquisition in Digital Forensics with FTK Imager. https://www.examcollection.com/blog/mastering-disk-image-acquisition-in-digital-forensics-with-ftk-imager


Komentar

Posting Komentar

Postingan populer dari blog ini

Teknik Penjadwalan Prosesor PSJF

nama : ONA ANISA kelas : 2cb nim :061430700545   Pendahuluan Penjadwalan merupakan kumpulan kebijaksanaan dan mekanisme di sistem operasi yang berkaitan dengan urutan kerja yang dilakukan sistem komputer. Penjadwalan adalah fungsi dasar dari sistem operasi. Semua resources pada komputer dijadwalkan sebelum digunakan. Penjadwalan bertugas untuk memutuskan proses yang harus berjalan serta kapan dan selama berapa lama proses itu berjalan.
Read more»

Jejak Data dan Bukti Digital

Gambar
Pengertian Bukti Digital Bukti digital adalah informasi atau data yang tersimpan, dikirim, maupun diterima melalui perangkat elektronik dan dapat digunakan untuk mendukung proses investigasi. Bukti digital dapat ditemukan pada komputer, laptop, ponsel, flashdisk, server, kamera digital, hingga media penyimpanan berbasis cloud. Dalam dunia forensik komputer, bukti digital memiliki peranan penting karena dapat menunjukkan aktivitas pengguna, jejak komunikasi, riwayat akses, maupun file tertentu yang berkaitan dengan suatu kejadian. Berbeda dengan bukti fisik biasa, bukti digital bersifat mudah berubah sehingga proses pengumpulan dan analisisnya harus dilakukan secara hati-hati agar keaslian data tetap terjaga.   Contoh bukti digital antara lain:   Email Chat atau pesan instan File dokumen Foto dan video digital Log aktivitas sistem Riwayat browsing internet Data transaksi elektronik Tujuan Bukti Digital   Penggunaan bukti digital ditujukan untuk membantu proses inve...
Read more»