PFD-500: Pengolahan dan Analisis Data Elektronik
PFD-500 mengatur prosedur pengolahan dan analisis data elektronik yang telah diperoleh. Tahap ini dimulai setelah working copy dibuat dari pristine copy dan bertujuan menghasilkan informasi yang relevan, terstruktur, dan dapat dimanfaatkan oleh Peminta Bantuan untuk mendukung pemeriksaan, pemeriksaan bukti permulaan, atau penyidikan.
PFD-501: Prosedur Pengolahan dan Analisis
Section titled “PFD-501: Prosedur Pengolahan dan Analisis”Prinsip Dasar
Section titled “Prinsip Dasar”- Preservasi: Pristine copy (salinan asli hasil akuisisi) tidak boleh diolah langsung. Seluruh pekerjaan dilakukan pada working copy.
- Reprodusibilitas: Setiap langkah pengolahan dan analisis harus dapat diulangi dan menghasilkan temuan yang sama.
- Objektivitas: Analisis dilakukan tanpa bias; seluruh temuan — baik yang mendukung maupun yang tidak mendukung hipotesis — dicatat.
- Dokumentasi: Setiap langkah, alat, pengaturan, dan hasil dicatat dalam laporan (
PFD-702,PFD-703).
Alur Kerja
Section titled “Alur Kerja”Pristine Copy → Working Copy → Pengolahan → Analisis → TemuanTahap 1: Pembuatan Working Copy
Section titled “Tahap 1: Pembuatan Working Copy”Working copy adalah salinan dari pristine copy yang akan digunakan untuk seluruh pekerjaan pengolahan dan analisis. Pristine copy disimpan sebagai master yang tidak disentuh.
Langkah-Langkah
Section titled “Langkah-Langkah”- Verifikasi pristine copy — Pastikan hash masih sesuai dengan yang dicatat saat akuisisi.
- Buat working copy — Salin pristine copy ke media kerja dengan verifikasi hash pasca-salin.
- Catat metadata — Tanggal pembuatan, alat yang digunakan, hash kedua salinan.
- Simpan pristine copy — Kembalikan ke penyimpanan aman; akses selanjutnya hanya untuk verifikasi.
Tahap 2: Pengolahan Data
Section titled “Tahap 2: Pengolahan Data”Pengolahan data bertujuan mengubah data mentah menjadi bentuk yang dapat dicari, difilter, dan dianalisis.
a. Pengindeksan (Indexing)
Section titled “a. Pengindeksan (Indexing)”Proses membaca seluruh data pada working copy dan membangun indeks untuk pencarian cepat.
- Isi file — Teks dalam dokumen, email, riwayat chat, halaman web, metadata.
- Metadata sistem — Nama file, path, timestamp (dibuat, dimodifikasi, diakses), ukuran, pemilik.
- Struktur direktori — Hierarki folder dan hubungan antar file.
- Artefak sistem — Registry Windows, event log, prefetch, shellbag, LNK files, jump lists.
Alat: Magnet Axiom, EnCase Forensic Examiner, Autopsy, FTK.
b. Pencarian Kata Kunci (Keyword Search)
Section titled “b. Pencarian Kata Kunci (Keyword Search)”Setelah indeks terbangun, dilakukan pencarian berdasarkan kata kunci yang relevan dengan perkara:
- Nama orang, tempat, organisasi.
- Nomor rekening, nomor telepon, alamat email.
- Istilah teknis atau kode spesifik.
- Frasa dalam bahasa tertentu.
- Regular expression (regex) untuk pola kompleks (nomor kartu kredit, NIK, dsb.).
Hasil pencarian difilter berdasarkan relevansi dan dikelompokkan untuk analisis lebih lanjut.
c. Pemfilteran (Filtering)
Section titled “c. Pemfilteran (Filtering)”Menyaring data berdasarkan kriteria tertentu untuk mempersempit ruang lingkup analisis:
- Rentang waktu — File yang dibuat/dimodifikasi/diakses dalam periode tertentu.
- Jenis file — Dokumen, gambar, video, email archive, database, executable.
- Ekstensi file —
.docx,.pdf,.jpg,.pst,.db. - Lokasi — Path atau direktori tertentu.
- Ukuran — File di atas atau di bawah ambang tertentu.
- Sumber — Perangkat atau partisi asal.
Tahap 3: Analisis Data
Section titled “Tahap 3: Analisis Data”Analisis adalah proses interpretasi terhadap data yang telah diolah untuk menghasilkan temuan yang bermakna.
a. Kategorisasi Temuan
Section titled “a. Kategorisasi Temuan”Mengelompokkan temuan ke dalam kategori yang relevan dengan perkara:
- Bukti komunikasi — Email, pesan instan, SMS, log panggilan.
- Bukti dokumen — Kontrak, surat, laporan keuangan, spreadsheet.
- Bukti aktivitas — Riwayat penjelajahan, log file, timeline aktivitas pengguna.
- Bukti kepemilikan — Akun pengguna, sertifikat digital, software license.
- Bukti lokasi — Metadata GPS pada foto, log koneksi Wi-Fi, riwayat lokasi.
b. Data Carving
Section titled “b. Data Carving”Data carving adalah teknik untuk memulihkan file yang telah dihapus atau berada di area yang tidak dialokasikan (unallocated space) pada media penyimpanan.
- File signature-based carving — Mencari header dan footer file yang dikenal (misalnya
\xFF\xD8…\xFF\xD9untuk JPEG). - Struktur file — Memulihkan file berdasarkan struktur internalnya (fragmentasi).
- Metadata recovery — Menggali metadata yang tersisa meskipun file sudah dihapus.
Alat: Foremost, Scalpel, Photorec, Bulk Extractor, fitur carving bawaan di Magnet Axiom dan EnCase.
c. Timeline Analysis
Section titled “c. Timeline Analysis”Membangun kronologi aktivitas berdasarkan timestamp dari berbagai sumber:
- File system timestamps — MAC (Modified, Accessed, Created/Changed).
- Event logs — Windows Event Log, syslog, log aplikasi.
- Registry — UserAssist, RecentDocs, RunMRU.
- Browser history — Riwayat penjelajahan, download, bookmark.
- Email headers — Waktu kirim/terima dalam header email.
Timeline membantu merekonstruksi urutan kejadian: kapan pengguna login, membuka file, mengirim email, menghubungkan USB, menjalankan program.
d. Analisis Artefak Spesifik
Section titled “d. Analisis Artefak Spesifik”| Artefak | Sumber | Informasi |
|---|---|---|
| LNK Files | Windows Recent | File yang dibuka, path asli, volume serial |
| Prefetch | Windows C:\Windows\Prefetch | Program yang dijalankan, frekuensi, terakhir dijalankan |
| Shellbags | Registry | Folder yang pernah dibuka di Explorer |
| Jump Lists | Windows Recent items | File yang dibuka per aplikasi |
| Thumbcache | Windows thumbcache | Thumbnail gambar yang pernah dilihat |
| SRUM | Windows System Resource Usage Monitor | Data penggunaan aplikasi dan jaringan per jam |
| plist/sqlite | macOS/iOS | Konfigurasi aplikasi, database internal |
| SMS/Call Logs | Android/iOS | Riwayat komunikasi |
Tahap 4: Validasi Temuan
Section titled “Tahap 4: Validasi Temuan”Setiap temuan wajib divalidasi sebelum dimasukkan ke dalam laporan:
- Verifikasi silang — Periksa apakah temuan yang sama muncul dari sumber independen lain.
- Reproduksi — Ulangi langkah analisis untuk memastikan hasil konsisten.
- Eksklusi alternatif — Singkirkan kemungkinan interpretasi lain yang masuk akal.
- Peer review — Minta ahli lain meninjau temuan dan metodologi.
Alat Bantu Utama
Section titled “Alat Bantu Utama”| Alat | Fungsi Utama |
|---|---|
| Magnet Axiom | Pengolahan, analisis, dan carving terintegrasi; unggul dalam artefak mobile dan cloud |
| EnCase Forensic Examiner | Analisis forensik komprehensif; scripting (EnScript) untuk otomatisasi |
| Autopsy | Open-source; pengolahan dan analisis dengan antarmuka web; plugin extensible |
| FTK (Forensic Toolkit) | Pengindeksan cepat; data carving; analisis email |
| Bulk Extractor | Ekstraksi informasi (email, URL, kartu kredit) dari disk image tanpa parsing sistem berkas |
| Volatility | Analisis memori (RAM dump) — proses, koneksi jaringan, kunci registri |
| Wireshark | Analisis tangkapan jaringan (PCAP) |
| DB Browser for SQLite | Analisis database SQLite (riwayat browser, chat, aplikasi) |
Output Tahap Pengolahan dan Analisis
Section titled “Output Tahap Pengolahan dan Analisis”- Temuan terstruktur — Daftar temuan yang dikategorikan dan divalidasi.
- Kronologi kejadian — Timeline aktivitas yang relevan.
- Laporan pengolahan dan analisis (
PFD-702) — Mendokumentasikan metodologi, alat, pengaturan, dan temuan. - Bahan untuk Laporan Forensik Digital (
PFD-703) — Kontribusi analisis untuk laporan komprehensif.
Formulir Terkait
Section titled “Formulir Terkait”| Kode Formulir | Nama Formulir | Digunakan Pada |
|---|---|---|
F-PFD-013 | Rencana Kerja Pengolahan dan Analisis | Persiapan (PFD-102) |
F-PFD-702 | Laporan Pengolahan dan Analisis | Pelaporan (PFD-702) |
Keterkaitan Prosedur
Section titled “Keterkaitan Prosedur”- Sebelum:
PFD-300(Perolehan) danPFD-400(Transportasi) atauPFD-600(Penerimaan di lab) - Sesudah:
PFD-700(Pelaporan Forensik Digital)