Forensik Digital
Pertemuan 02
Proses Investigasi Forensik Digital
Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS
🎯 Capaian Pembelajaran
Setelah pertemuan ini, mahasiswa mampu:
- Menjelaskan fase-fase investigasi forensik digital (NIST Framework)
- Menerapkan prosedur first response dan penanganan TKP digital
- Melakukan dokumentasi bukti elektronik dan fotografi forensik
- Mengimplementasikan chain of custody dalam penanganan bukti
- Menerapkan teknik preservasi dan pengamanan bukti digital
- Menyusun SOP investigasi forensik dalam konteks militer
- Memahami incident handling dalam kerangka CERT militer
📋 Agenda Hari Ini
Bagian 1
- Framework Investigasi (NIST)
- First Response & TKP Digital
- Dokumentasi Bukti
- Chain of Custody
Bagian 2
- Preservasi Bukti Digital
- SOP Forensik Militer
- Incident Handling & CERT
- Legal Considerations
❓ Mengapa Framework Penting?
Investigasi Forensik Digital adalah proses terstruktur untuk mengidentifikasi, mengumpulkan, memeriksa, menganalisis, dan melaporkan bukti digital yang relevan.
| Aspek |
Tanpa Framework |
Dengan Framework |
| Proses |
Ad-hoc |
Sistematis |
| Bukti |
Risiko kontaminasi |
Integritas terjaga |
| Legal |
Ditolak di pengadilan |
Admissible |
🏛️ NIST SP 800-86 Framework
Empat fase utama investigasi forensik digital:
1. Collection
Identifikasi & akuisisi data
2. Examination
Pemrosesan & ekstraksi data
3. Analysis
Interpretasi & korelasi temuan
4. Reporting
Dokumentasi & presentasi hasil
💡 Proses bersifat iteratif — dapat kembali ke fase sebelumnya jika diperlukan
📦 Fase 1: Collection (Pengumpulan)
Aktivitas utama dalam fase pengumpulan:
- Identifikasi — Menentukan perangkat & media yang relevan
- Prioritisasi — Urutan berdasarkan volatilitas (Order of Volatility)
- Akuisisi — Membuat salinan forensik
- Preservasi — Menjaga integritas bukti
- Dokumentasi — Mencatat setiap langkah
⚠️ Kesalahan di fase ini dapat menggagalkan seluruh investigasi!
🔍 Fase 2 & 3: Examination & Analysis
Examination
- Ekstraksi data dari image
- Filtering data tidak relevan
- Dekompresi & dekripsi
- Kategorisasi artefak
Analysis
- Timeline reconstruction
- Correlation analysis
- Pattern analysis
- Attribution analysis
📝 Fase 4: Reporting (Pelaporan)
Elemen laporan forensik:
| Bagian |
Konten |
| Executive Summary |
Ringkasan untuk non-teknis (1-2 halaman) |
| Metodologi |
Tools, teknik, prosedur yang digunakan |
| Temuan |
Artefak dan bukti yang ditemukan |
| Timeline |
Rekonstruksi kronologi kejadian |
| Kesimpulan |
Jawaban atas pertanyaan investigasi |
🔄 Framework Alternatif
| Framework |
Pengembang |
Fase |
Keunggulan |
| NIST SP 800-86 |
NIST (AS) |
4 |
Sederhana, banyak diadopsi |
| DFRWS |
Research Workshop |
6 |
Komprehensif, akademis |
| ISO/IEC 27037 |
ISO |
4 |
Standar internasional |
| ACPO Guidelines |
UK Police |
4 |
Berorientasi hukum |
🚨 First Response: Penanganan TKP Digital
First Response adalah serangkaian tindakan awal saat pertama kali tiba di lokasi insiden untuk mengamankan, mendokumentasikan, dan mempreservasi bukti digital.
First response yang tepat menentukan keberhasilan seluruh investigasi!
❌ Kesalahan di tahap ini → bukti rusak, hilang, atau tidak admissible
📋 Langkah-Langkah First Response
- Perimeter Control — Batasi akses ke area TKP
- Personnel Log — Catat setiap orang masuk/keluar
- Threat Assessment — Evaluasi risiko fisik & digital
- Authorization — Pastikan otorisasi legal
- Documentation — Dokumentasi kondisi awal
- Evidence Handling — Penanganan sesuai status perangkat
📸 Dokumentasi Kondisi Awal
Sebelum menyentuh perangkat apapun:
| Aktivitas |
Tools |
Tujuan |
| Foto panorama |
Kamera digital |
Tata letak ruangan |
| Foto close-up |
Kamera digital |
Detail setiap perangkat |
| Catat status |
Formulir |
Kondisi hidup/mati, LED |
| Identifikasi koneksi |
Formulir |
Kabel, jaringan, USB |
| Sketsa lokasi |
Kertas/tablet |
Denah TKP & posisi perangkat |
💻 Penanganan: Live vs Dead System
🟢 Sistem MENYALA
- JANGAN matikan langsung
- Foto/screenshot layar
- Catat waktu sistem
- Capture volatile data (RAM)
- Pertimbangkan live acquisition
🔴 Sistem MATI
- JANGAN menyalakan!
- Foto semua sisi perangkat
- Cabut power dari belakang PC
- Label semua kabel & port
- Kemas dengan anti-static bag
⚠️ Mengapa Tidak Boleh Menyalakan?
Risiko menyalakan komputer yang sudah mati:
- ⏰ Modifikasi timestamp — OS mengubah metadata file saat boot
- 💾 Overwrite data — Startup menulis ke disk, menimpa bukti
- 🦠 Autorun malware — Script destruktif berjalan otomatis
- 📋 Registry changes — Windows memodifikasi registry entries
- 📊 Log modification — Event logs berubah dengan aktivitas baru
🎖️ TKP Digital: Konteks Militer
| Aspek |
Sipil |
Militer |
| Otorisasi |
Surat pengadilan |
Perintah komandan + legal |
| Akses |
Area publik/privat |
Fasilitas berklasifikasi |
| Personel |
Investigator sipil |
Tim forensik militer |
| Informasi |
Variasi klasifikasi |
Rahasia negara |
| Urgency |
Prosedur standar |
Dipercepat untuk operasi |
Pertimbangan Khusus Militer
- Security Clearance
Investigator harus memiliki izin keamanan yang sesuai
- Classified Material
Prosedur khusus untuk materi berklasifikasi
- OPSEC
Menjaga kerahasiaan operasi selama investigasi
- Command Authority
Koordinasi dengan rantai komando
- Multi-Domain
Bukti lintas matra (AD, AL, AU)
📄 Dokumentasi Forensik
Dokumentasi Forensik adalah pencatatan terperinci dan sistematis dari setiap tindakan selama investigasi.
Case Notes
Catatan kronologis aktivitas
Chain of Custody
Formulir perpindahan bukti
Acquisition Log
Catatan akuisisi & hash
Forensic Photography
Foto TKP & perangkat
📷 Fotografi Forensik: Tiga Level
| Level |
Nama |
Contoh di TKP Digital |
| 1 |
Overview/Panoramic |
Seluruh ruangan kerja tersangka |
| 2 |
Mid-range |
Workstation + monitor + kabel |
| 3 |
Close-up/Detail |
Serial number, layar aktif, port USB |
💡 Gunakan skala/ruler untuk close-up dan catat timestamp setiap foto
📝 Case Notes: Elemen Wajib
| Elemen |
Format |
Contoh |
| Tanggal/Waktu |
YYYY-MM-DD HH:MM:SS |
2026-02-07 14:30:25 |
| Investigator |
Nama + NRP/NIP |
Kapten Inf. Ardi, NRP 123 |
| Lokasi |
Alamat lengkap |
Ruang Server, Makodam XIII |
| Aktivitas |
Deskripsi detail |
Capture RAM via FTK Imager |
| Hash Values |
SHA-256 |
a1b2c3d4e5f6... |
Contoh Case Notes
CASE NOTES — LTM-V/DFIR/2026/002
================================
Investigator: Lettu Laut (T) Budi S., NRP 7654321
Lokasi: Kantor Lantamal V Surabaya
09:00 - Tiba di lokasi, pengarahan dari Danlanal
09:17 - Laptop: Lenovo ThinkPad T480, S/N: PF1XXXXX
Status: MENYALA, layar terkunci
09:18 - Foto panoramic (IMG_001-003)
09:22 - Foto close-up serial number (IMG_007-012)
09:25 - Mulai capture RAM: FTK Imager 4.7
09:47 - RAM capture selesai: ram_dump.mem (8GB)
SHA-256: [hash value]
09:50 - Shutdown: cabut baterai + kabel power
09:55 - Label & kemas: EVD-001 (Laptop)
10:00 - Serah terima → Kadenpom (CoC signed)
🔗 Chain of Custody
Chain of Custody adalah dokumentasi kronologis yang mencatat setiap perpindahan, penanganan, dan penyimpanan bukti dari pengumpulan hingga pengadilan.
Jika chain of custody terputus, bukti dapat ditolak di pengadilan!
Prinsip Chain of Custody
- Continuity — Tidak ada celah waktu dalam pencatatan
- Integrity — Bukti tidak diubah, ditambah, atau dikurangi
- Accountability — Setiap penanganan tercatat & bertanggung jawab
- Security — Bukti di lokasi aman, akses terkontrol
- Documentation — Setiap perpindahan didokumentasikan tertulis
Komponen Formulir Chain of Custody
Info Kasus
- Nomor kasus
- Tanggal/waktu
- Investigator PJ
- Unit/satuan
Deskripsi Bukti
- Evidence number
- Merek, model, S/N
- Kondisi diterima
- Hash value
Perpindahan
- Dari siapa
- Kepada siapa
- Tujuan
- Tanda tangan
🛡️ Preservasi Bukti Digital
| Teknik |
Deskripsi |
Tools |
| Forensic Imaging |
Salinan bit-by-bit |
FTK Imager, dd |
| Hash Verification |
Sidik jari digital integritas |
HashMyFiles, md5sum |
| Write Blocking |
Cegah penulisan ke bukti |
Tableau, SAFE Block |
| Secure Storage |
Penyimpanan aman terkontrol |
Evidence locker |
💿 Forensic Imaging
Forensic Image adalah salinan bit-by-bit dari seluruh media, termasuk unallocated space, deleted files, dan metadata.
| Jenis |
Cakupan |
Penggunaan |
| Physical Image |
Seluruh disk + unallocated |
Investigasi menyeluruh |
| Logical Image |
Hanya file/folder aktif |
Waktu terbatas |
| Targeted |
File tertentu saja |
Scope spesifik |
🚫 Write Blocker
Write Blocker mencegah penulisan data ke media bukti, menjaga integritas bukti asli.
Hardware
- Blok sinyal write secara fisik
- Lebih reliabel
- Tidak bergantung OS
- Mahal, perlu dibawa fisik
Software
- Modifikasi driver storage
- Murah, mudah digunakan
- Bergantung pada OS
- Kurang reliabel
#️⃣ Hash Verification
Algoritma hash untuk membuktikan integritas bukti:
| Algoritma |
Panjang |
Status |
| MD5 |
128-bit (32 hex) |
Deprecated |
| SHA-1 |
160-bit (40 hex) |
Deprecated |
| SHA-256 |
256-bit (64 hex) |
✅ Direkomendasikan |
| SHA-512 |
512-bit (128 hex) |
Sangat aman |
💡 Perubahan 1 bit → hash berubah total (avalanche effect)
📑 SOP Investigasi Forensik Militer
SOP adalah instruksi langkah demi langkah untuk melaksanakan prosedur secara konsisten dan sesuai standar.
Karakteristik SOP forensik militer:
- Mengikuti hierarki komando militer
- Mempertimbangkan klasifikasi keamanan
- Selaras dengan doktrin operasi
- Terintegrasi dengan sistem pelaporan militer
Tahapan SOP Forensik Militer
| No |
Tahap |
Penanggung Jawab |
Output |
| 1 |
Penerimaan Kasus |
Unit pelapor |
Laporan insiden |
| 2 |
Otorisasi |
Komandan satuan |
Surat perintah |
| 3 |
Persiapan Tim |
Ketua tim forensik |
Checklist kesiapan |
| 4 |
Penanganan TKP |
First responder |
Case notes, foto |
| 5 |
Akuisisi & Analisis |
Forensic examiner |
Images, temuan |
| 6 |
Pelaporan |
Ketua tim |
Laporan forensik |
🔥 Incident Handling
Incident Handling adalah proses terstruktur untuk mendeteksi, menganalisis, membatasi dampak, dan memulihkan sistem dari insiden keamanan siber.
| Aspek |
Incident Handling |
Digital Forensics |
| Tujuan |
Pemulihan operasional |
Pengumpulan bukti |
| Prioritas |
Hentikan serangan |
Jaga integritas bukti |
| Waktu |
Secepat mungkin |
Teliti & menyeluruh |
🔄 NIST Incident Response Lifecycle
NIST SP 800-61: Empat fase incident response:
1. Preparation
Bangun kapabilitas, siapkan tools, latih tim
2. Detection & Analysis
Deteksi insiden, tentukan scope & severity
3. Containment, Eradication & Recovery
Batasi dampak, hapus ancaman, pulihkan
4. Post-Incident Activity
Lessons learned, perbaikan, dokumentasi
🏢 CERT/CSIRT Militer Indonesia
| Organisasi |
Peran |
Cakupan |
| BSSN |
Koordinator siber nasional |
Infrastruktur kritis nasional |
| Satsiber TNI |
Operasi siber militer |
Pertahanan siber militer |
| Pusdiksus TNI |
Pelatihan kapabilitas |
Seluruh matra TNI |
| CERT Kodam |
Respons insiden regional |
Wilayah pertahanan Kodam |
🤝 Integrasi Forensik & Incident Response
| Fase IR |
Peran Forensik Digital |
| Preparation |
Siapkan tools forensik, latih kemampuan |
| Detection |
Analisis artefak untuk konfirmasi insiden |
| Containment |
⚠️ Capture volatile data SEBELUM isolasi! |
| Eradication |
Analisis root cause & IOC |
| Recovery |
Verifikasi ancaman telah dihilangkan |
| Post-Incident |
Laporan forensik untuk lessons learned |
⚖️ Kerangka Hukum
Regulasi terkait investigasi forensik digital militer:
- UU No. 1/2024 (ITE) — Pengakuan bukti elektronik, intersepsi
- UU No. 3/2002 (Pertahanan) — Kewenangan militer
- UU No. 31/1997 (Peradilan Militer) — Prosedur pembuktian
- ISO/IEC 27037:2012 — Standar internasional bukti digital
Admissibility Bukti Digital
Kriteria agar bukti diterima di pengadilan:
| Kriteria |
Cara Memenuhi |
| Authenticity |
Hash verification, chain of custody |
| Reliability |
Ikuti SOP & standar (NIST, ISO) |
| Completeness |
Dokumentasi menyeluruh |
| Relevance |
Analisis & filtering yang tepat |
| Proportionality |
Tidak excessive collection |
✅ Quality Assurance
Elemen QA forensik digital:
Peer Review
Review proses & temuan oleh investigator lain
Tool Validation
Verifikasi tools dengan dataset NIST CFTT
Proficiency Testing
Pengujian berkala kemampuan investigator
Documentation Audit
Audit kelengkapan & kualitas dokumentasi
❌ Kesalahan Umum & Pencegahan
| Error |
Dampak |
Pencegahan |
| Tidak hash sebelum analisis |
Integritas dipertanyakan |
SOP wajib hash di awal |
| Chain of custody gap |
Bukti tidak admissible |
Template & checklist |
| Analisis pada bukti asli |
Bukti asli termodifikasi |
Selalu working copy |
| Dokumentasi tidak lengkap |
Tidak reproducible |
Template standar |
| Bias konfirmasi |
Kesimpulan tidak objektif |
Peer review wajib |
🧠 Quiz Time!
Pertanyaan 1:
Berapa fase yang didefinisikan oleh NIST SP 800-86 untuk investigasi forensik digital?
A. 3 fase
B. 4 fase (Collection, Examination, Analysis, Reporting) ✅
C. 5 fase
D. 6 fase
🧠 Quiz Time!
Pertanyaan 2:
Saat tiba di TKP dan menemukan komputer dalam keadaan MATI, apa yang harus dilakukan?
A. Nyalakan untuk memeriksa isinya
B. Hubungkan ke jaringan forensik
C. JANGAN nyalakan, dokumentasi & kemas sebagai bukti ✅
D. Format hard disk untuk analisis bersih
⚠️ Menyalakan komputer akan mengubah timestamp, registry, dan berpotensi menjalankan malware!
🧠 Quiz Time!
Pertanyaan 3:
Apa tujuan utama chain of custody dalam investigasi forensik?
A. Mempercepat proses investigasi
B. Mengurangi biaya investigasi
C. Mendokumentasikan setiap perpindahan bukti untuk menjamin integritas ✅
D. Mengenkripsi bukti digital
🧠 Quiz Time!
Pertanyaan 4:
Dalam incident response, kapan forensik harus capture volatile data?
A. SEBELUM containment (isolasi sistem) ✅
B. Setelah eradication
C. Saat post-incident review
D. Setelah sistem di-rebuild
💡 Volatile data hilang saat sistem dimatikan/diisolasi — capture dulu!
📋 Ringkasan
| Konsep |
Poin Kunci |
| NIST SP 800-86 |
4 fase: Collection → Examination → Analysis → Reporting |
| First Response |
Amankan lokasi, dokumentasi, preservasi bukti |
| Live vs Dead |
Live: capture volatile; Dead: jangan nyalakan |
| Chain of Custody |
Dokumentasi kronologis setiap perpindahan bukti |
| Preservasi |
Imaging, hashing, write blocking |
| Incident Response |
Preparation → Detection → Containment → Post-Incident |
📅 Pertemuan Berikutnya
Pertemuan 03: Hard Disk dan Sistem File
- Struktur fisik dan logis hard disk (HDD & SSD)
- Sistem file: FAT, NTFS, ext4
- Partisi dan Master Boot Record
- Artefak forensik pada media penyimpanan
📚 Referensi
- Casey, E. (2022). Digital Evidence and Computer Crime (4th Ed.). Academic Press. Chapter 3-4
- Phillips, A., et al. (2022). Guide to Computer Forensics and Investigations (6th Ed.). Cengage. Chapter 2-3.
- Johansen, G. (2020). Digital Forensics and Incident Response (2nd Ed.). Packt. Chapter 2-3.
- NIST SP 800-86: Guide to Integrating Forensic Techniques into Incident Response
- NIST SP 800-61: Computer Security Incident Handling Guide
- ISO/IEC 27037:2012 — Guidelines for Digital Evidence
Terima Kasih
🔍 Forensik Digital untuk Keperluan Militer
Pertemuan 02: Proses Investigasi Forensik Digital
Ada pertanyaan?