Forensik Digital

Pertemuan 03

Hard Disk dan Sistem File

Mata Kuliah: Digital Forensic for Military Purposes | 3 SKS

🎯 Capaian Pembelajaran

Setelah pertemuan ini, mahasiswa mampu:

  1. Menjelaskan arsitektur dan geometri hard disk (HDD dan SSD)
  2. Membedakan skema partisi MBR dan GPT beserta implikasi forensiknya
  3. Menganalisis struktur sistem file Windows (FAT, NTFS)
  4. Mengidentifikasi struktur internal NTFS (MFT, $LogFile, $UsnJrnl)
  5. Memahami sistem file Linux (ext2/3/4) dan Mac (HFS+, APFS)
  6. Menjelaskan konsep cluster, slack space, dan unallocated space
  7. Menganalisis tantangan forensik SSD (TRIM, wear leveling)

📋 Agenda Hari Ini

Bagian 1

  • Arsitektur HDD & SSD
  • Skema Partisi: MBR vs GPT
  • Sistem File FAT
  • NTFS & MFT

Bagian 2

  • NTFS Timestamps & ADS
  • Sistem File Linux & Mac
  • Slack & Unallocated Space
  • Forensik SSD: TRIM & Wear Leveling

💾 Arsitektur Hard Disk Drive (HDD)

HDD adalah perangkat penyimpanan non-volatile yang menggunakan piringan magnetik berputar (platter) untuk membaca dan menulis data secara elektromagnetik.
Komponen Fungsi Relevansi Forensik
Platter Media magnetik penyimpanan Data recoverable setelah dihapus
R/W Head Membaca & menulis data Kerusakan → data loss
Controller Mengontrol operasi disk Firmware menyimpan info forensik

📐 Geometri: CHS vs LBA

CHS (Cylinder-Head-Sector)
  • Cylinder: Track vertikal pada semua platter
  • Head: Sisi platter (0 = atas)
  • Sector: Subdivisi pada track (512 bytes)
  • Batas: ~8,4 GB
LBA (Logical Block Addressing)
  • Pengalamatan linier (mulai dari 0)
  • Lebih sederhana & modern
  • Mendukung kapasitas besar
  • Digunakan disk modern

⚡ Solid State Drive (SSD)

SSD menggunakan chip memori flash NAND untuk menyimpan data secara elektronik — tanpa komponen mekanik bergerak.
Aspek HDD SSD
Media Piringan magnetik Chip flash NAND
Komponen bergerak Ya Tidak
Recovery data Relatif mudah Sangat sulit
TRIM support Tidak Ya (menghapus data)

🔬 Tipe Sel NAND Flash

Tipe Bit/Sel Daya Tahan Penggunaan
SLC 1 ~100K siklus Enterprise, militer
MLC 2 ~10K siklus Enterprise
TLC 3 ~3K siklus Consumer
QLC 4 ~1K siklus Storage massal

💡 SLC dipilih untuk militer karena keandalan tinggi dan rentang suhu operasi luas (-40°C s/d 85°C)

📀 Master Boot Record (MBR)

MBR adalah struktur 512 bytes di sektor pertama (LBA 0) yang berisi boot code dan tabel partisi. Dikembangkan IBM tahun 1983.
Offset Ukuran Komponen
0x000 446 bytes Bootstrap Code
0x1BE 4 × 16 bytes Partition Table (4 entri)
0x1FE 2 bytes Boot Signature (0x55AA)

📊 Struktur Partition Entry MBR

Setiap entri partisi = 16 bytes:

Offset Ukuran Field
0x00 1 byte Status (0x80 = bootable)
0x04 1 byte Partition type (0x07=NTFS, 0x0B=FAT32)
0x08 4 bytes LBA of first sector
0x0C 4 bytes Number of sectors
⚠️ Keterbatasan MBR: Maks 4 partisi primer | Maks 2 TB | Single point of failure

🛡️ GUID Partition Table (GPT)

GPT adalah standar partisi modern (bagian spesifikasi UEFI), menggunakan GUID untuk identifikasi partisi.
Komponen Lokasi Deskripsi
Protective MBR LBA 0 Kompatibilitas mundur
GPT Header LBA 1 Metadata tabel partisi
Partition Entries LBA 2-33 Hingga 128 partisi
Backup Header + Entries LBA akhir Redundansi penuh

⚖️ MBR vs GPT

Aspek MBR GPT
Kapasitas maks 2 TB 9,4 ZB
Partisi maks 4 primer 128
Redundansi Tidak ada Backup header & entries
CRC check Tidak Ya (CRC32)
Boot BIOS UEFI

📂 Keluarga File Allocation Table (FAT)

FAT menggunakan tabel alokasi untuk melacak lokasi file — seperti daftar berantai (linked list).
Sistem File Entri FAT Kapasitas Maks File Maks
FAT12 12 bit 32 MB 32 MB
FAT16 16 bit 2 GB 2 GB
FAT32 32 bit 2 TB 4 GB
exFAT 32 bit 128 PB 16 EB

🔗 Cara Kerja FAT

FAT bekerja sebagai linked list cluster:

1️⃣ Directory Entry
Menunjuk ke cluster pertama file
2️⃣ FAT Entry
Setiap entri menunjuk ke cluster berikutnya
3️⃣ Cluster Chain
Rantai cluster membentuk file utuh
4️⃣ EOF Marker
Nilai khusus menandai akhir file
⚠️ FAT32: Batas file 4 GB — file video/image forensik besar tidak bisa disimpan utuh!

🔢 Nilai Entri FAT32

Nilai Arti Relevansi Forensik
0x00000000 Cluster kosong (free) Mungkin berisi data lama
0x00000002–0x0FFFFFEF Cluster berikutnya Rantai file
0x0FFFFFF7 Bad cluster Bisa digunakan menyembunyikan data
0x0FFFFFF8–0x0FFFFFFF End of File (EOF) Akhir rantai cluster

🏗️ NTFS — Sistem File Utama Windows

NTFS (New Technology File System) menyediakan journaling, MFT, ADS, enkripsi, dan metadata kaya — sistem file paling sering ditemui dalam forensik.
📓 Journaling
Recovery & timeline analysis
📊 MFT
Database metadata semua file
🔒 ADS
Alternate Data Streams
🕐 MACE
4 timestamps per atribut

🗂️ Struktur Volume NTFS

Area Deskripsi Forensik
Boot Sector VBR, BPB, bootstrap Info volume & cluster size
MFT Master File Table Database utama metadata
MFT Mirror Salinan parsial MFT Backup recovery
System Files $Bitmap, $LogFile, $Volume Info file system
Data Area File & direktori user Konten file

📊 Master File Table (MFT)

Setiap file dan direktori memiliki minimal 1 entri MFT (biasanya 1024 bytes):

Offset Field Nilai Penting
0x00 Signature "FILE" (0x454C4946)
0x08 $LogFile Seq Number Nomor urut transaksi
0x16 Flags 0x01=In use, 0x02=Directory

💡 File yang dihapus: flag berubah dari 0x01 → 0x00, tapi data MFT entry masih ada!

🗃️ MFT System Files (Metafiles)

Record Nama Fungsi
0 $MFT Master File Table itu sendiri
1 $MFTMirr Mirror dari 4 record pertama
2 $LogFile Journal transaksi
5 . (root) Direktori root
6 $Bitmap Peta alokasi cluster
8 $BadClus Daftar cluster rusak

🏷️ Atribut NTFS

Setiap MFT entry terdiri dari atribut-atribut:

Atribut Type Nilai Forensik
$STANDARD_INFORMATION 0x10 Timestamps MACE, flags
$FILE_NAME 0x30 Nama file, timestamps alternatif
$SECURITY_DESCRIPTOR 0x50 ACL dan permission
$DATA 0x80 Konten aktual file
$INDEX_ROOT 0x90 Struktur direktori (B-tree)

🕐 NTFS Timestamps — MACE

Timestamp $STANDARD_INFO $FILE_NAME
M — Modified Terakhir konten diubah Diset saat file dibuat
A — Accessed Terakhir diakses Diset saat file dibuat
C — Created Waktu pembuatan Waktu pembuatan
E — Entry Modified Terakhir MFT diubah Diset saat file dibuat
🚨 Penting: $STANDARD_INFORMATION dapat dimanipulasi (timestomping), $FILE_NAME hanya diubah kernel — lebih reliable!

🔍 Deteksi Timestomping

Skenario: Analis BSSN menemukan anomali timestamp:

Atribut Created Dapat Dimanipulasi?
$STANDARD_INFO 2020-01-15 Ya ⚠️
$FILE_NAME 2025-11-20 Tidak ✓
Kesimpulan: $SI Created lebih lama dari $FN Created — secara logis tidak mungkin natural. Ini bukti timestomping (anti-forensik)!

📓 $LogFile vs $UsnJrnl

Aspek $LogFile $UsnJrnl
Tujuan Recovery setelah crash Tracking perubahan file
Level File system level rendah File level tinggi
Data Operasi MFT Nama file, alasan, timestamp
Forensik Rekonstruksi operasi teknis Timeline aktivitas user

💡 Keduanya saling melengkapi: $LogFile untuk "bagaimana", $UsnJrnl untuk "siapa, kapan, apa"

🔒 Alternate Data Streams (ADS)

ADS memungkinkan file NTFS memiliki beberapa stream data — tidak terlihat melalui Windows Explorer atau dir standar.

Legitimate

  • Zone.Identifier (sumber download)
  • Thumbnail cache
  • Summary information

Malicious

  • Menyembunyikan malware
  • Exfiltration channel
  • Konfigurasi C2

🔎 Membuat & Mendeteksi ADS

Membuat ADS:

echo "data rahasia" > file.txt:hidden_stream

Mendeteksi ADS:

dir /R
streams.exe file.txt    (Sysinternals)
🚨 Kasus: File laporan.docx berukuran 15 KB di Explorer, tetapi FTK Imager menunjukkan 2,3 MB → kemungkinan data rahasia disembunyikan dalam ADS!

📦 Cluster — Unit Alokasi Terkecil

Cluster (allocation unit) adalah unit terkecil yang dialokasikan sistem file. 1 cluster = 1 atau lebih sektor berurutan.
Ukuran Volume NTFS Default FAT32 Default
≤ 2 GB 2 KB 4 KB
2 – 16 GB 4 KB 4 KB
16 – 32 GB 4 KB 8 KB
32 GB – 2 TB 4 KB 16 KB

🧩 Slack Space

Slack Space adalah area tidak terpakai dalam cluster yang sudah dialokasikan — berpotensi menyimpan data dari file sebelumnya.
RAM Slack
Antara akhir data file dan akhir sektor terakhir. Biasanya diisi nol (Windows modern).
Drive Slack
Antara akhir sektor terakhir file dan akhir cluster. Dapat berisi data lama!

🧮 Perhitungan Slack Space

Contoh: File 5.000 bytes pada NTFS (cluster 4 KB):

Komponen Ukuran
Cluster dialokasikan ⌈5.000/4.096⌉ = 2 cluster
Ruang teralokasi 2 × 4.096 = 8.192 bytes
Slack space 8.192 − 5.000 = 3.192 bytes

💡 Slack space 3.192 bytes ini berpotensi menyimpan fragmen data dari file sebelumnya!

🕳️ Unallocated Space

Unallocated Space adalah area pada disk yang tidak ditempati partisi/file aktif — target utama file carving.
Jenis Lokasi
Volume slack Antara akhir file system dan akhir partisi
Partition gap Antara dua partisi
Unpartitioned space Setelah partisi terakhir (data tersembunyi!)
Deleted file space Cluster yang dirilis setelah file dihapus

🗑️ Proses Penghapusan File

Mengapa file yang dihapus masih bisa dipulihkan?

Tahap Aksi Data di Disk
File aktif Entry MFT/FAT aktif Data utuh ✓
Hapus ke Recycle Bin Pindah ke $Recycle.Bin Data utuh ✓
Kosongkan Recycle Bin MFT ditandai "not in use" Data masih ada!
Cluster ditimpa File baru pakai cluster Data hilang ✗

🐧 Sistem File Linux: ext2/3/4

Fitur ext2 ext3 ext4
Tahun 1993 2001 2008
Journaling Tidak Ya Ya
File maks 2 TB 2 TB 16 TB
Timestamps Detik Detik Nanosecond

📋 Inode — Metadata File Linux

Inode (Index Node) menyimpan metadata file pada ext — setara MFT entry pada NTFS. Setiap file memiliki tepat 1 inode.
Field Deskripsi
Mode, UID, GID Tipe file, permission, pemilik
atime, mtime, ctime Timestamps akses, modifikasi, change
dtime Deletion time — tidak ada di NTFS!
Block pointers Direct, indirect, double indirect

💡 ext4 menyimpan deletion time (dtime) — sangat berguna mengetahui kapan file dihapus!

⚖️ MFT (NTFS) vs Inode (ext4)

Aspek NTFS (MFT) ext4 (Inode)
Ukuran entry 1024 bytes 256 bytes
Timestamps 8 (4×SI + 4×FN) 4 (a/m/c/dtime)
Deletion time Tidak ada dtime ✓
ADS Didukung Tidak
Timestomping detection SI vs FN Lebih sulit

🍎 Sistem File Mac: HFS+ & APFS

HFS+ (1998)
  • Journaling opsional
  • Catalog file (B-tree)
  • Epoch: 1 Jan 1904
  • Perangkat Mac lama
APFS (2017)
  • Optimisasi SSD
  • Snapshots & cloning
  • Enkripsi native
  • Space sharing
⚠️ Tantangan APFS: Enkripsi native, cloning berbagi blocks, snapshot tersembunyi, dukungan tool terbatas

📓 File System Journaling

Journaling mencatat perubahan sebelum diterapkan — menjamin konsistensi setelah crash dan menyediakan "sejarah" untuk forensik.
Sistem File Journal Info Forensik
NTFS $LogFile Operasi metadata MFT
NTFS $UsnJrnl Change journal: create, delete, rename
ext3/ext4 jbd/jbd2 Transaksi file system
HFS+ .journal Metadata transactions

⚡ Forensik SSD — TRIM

TRIM memberitahu SSD bahwa blok data tidak lagi digunakan — SSD menghapus data secara fisik, menghancurkan bukti!
Tahap HDD SSD + TRIM
File dihapus Cluster ditandai free Cluster ditandai free
TRIM dieksekusi Page dihapus fisik!
Recovery? Mungkin ✓ Tidak mungkin ✗

🔄 Wear Leveling & Garbage Collection

Wear Leveling
  • Distribusi penulisan merata
  • Memperpanjang umur SSD
  • Data tersebar di lokasi berbeda
  • Recovery lebih sulit
Garbage Collection
  • Proses internal otomatis SSD
  • Menggabungkan halaman valid
  • Menghapus halaman invalid
  • Berjalan tanpa perintah user

📋 Studi Kasus: Recovery SSD

Skenario: Laptop SSD NVMe tersangka disita, file dihapus 2 jam lalu, TRIM aktif.

Faktor Status Dampak
Media SSD NVMe Recovery sangat sulit
TRIM Aktif Data kemungkinan sudah terhapus fisik
💡 Strategi alternatif: RAM dump, $UsnJrnl (bukti eksistensi), MFT metadata, cloud backup, over-provisioned area

🧠 Quiz Time!

Pertanyaan 1:

Berapa kapasitas maksimal partisi pada skema MBR?

A. 1 TB
B. 2 TB ✅
C. 4 TB
D. 8 TB

💡 MBR menggunakan 4 bytes untuk jumlah sektor: 2³² × 512 bytes ≈ 2 TB

🧠 Quiz Time!

Pertanyaan 2:

Atribut NTFS mana yang TIDAK DAPAT dimanipulasi oleh user untuk timestomping?

A. $STANDARD_INFORMATION
B. $FILE_NAME ✅
C. $DATA
D. $SECURITY_DESCRIPTOR

⚠️ $FILE_NAME timestamps hanya dapat diubah oleh kernel Windows!

🧠 Quiz Time!

Pertanyaan 3:

Fitur unik ext4 yang TIDAK dimiliki NTFS dan sangat berguna untuk forensik adalah?

A. Journaling
B. Access time
C. Deletion time (dtime) ✅
D. File compression

✅ ext4 menyimpan kapan file dihapus langsung di inode — informasi berharga!

🧠 Quiz Time!

Pertanyaan 4:

Mengapa file yang dihapus pada SSD dengan TRIM aktif hampir tidak mungkin dipulihkan?

A. File dienkripsi oleh SSD
B. MFT entry dihapus permanen
C. TRIM menghapus data secara fisik dari flash ✅
D. SSD memformat ulang seluruh drive

📝 Ringkasan

Konsep Poin Kunci
HDD vs SSD HDD = recovery mudah; SSD = TRIM, wear leveling, GC
MBR vs GPT MBR: 4 partisi/2TB; GPT: 128 partisi, redundansi
FAT vs NTFS FAT: linked list sederhana; NTFS: MFT, ADS, journal
MFT & MACE 8 timestamps, deteksi timestomping via $SI vs $FN
Slack & Unallocated Sumber data residual, target file carving
ext4 Inode dengan dtime, journaling, nanosecond timestamp
Tools FTK Imager, MFTExplorer, Autopsy, HxD

📅 Pertemuan Berikutnya

Pertemuan 04: Akuisisi dan Duplikasi Data Forensik

  • Prinsip akuisisi forensik dan write-blocking
  • Metode akuisisi: physical, logical, sparse
  • Format image forensik: raw (dd), E01, AFF4
  • Verifikasi integritas: MD5, SHA-1, SHA-256

📚 Referensi

  1. Carrier, B. (2005). File System Forensic Analysis. Addison-Wesley. Chapter 3-11
  2. Casey, E. (2022). Digital Evidence and Computer Crime (4th Ed.). Academic Press. Chapter 8.
  3. Phillips, A., et al. (2022). Guide to Computer Forensics and Investigations (6th Ed.). Cengage. Chapter 4-5.
  4. Nikkel, B. (2021). Practical Forensic Imaging (2nd Ed.). No Starch Press. Chapter 4-6.
  5. Microsoft (2024). NTFS Technical Reference. Microsoft Docs.

Terima Kasih

🔍 Forensik Digital untuk Keperluan Militer

Pertemuan 03: Hard Disk dan Sistem File


Ada pertanyaan?