Tutorial FTK Imager: Cara Aman Forensic Imaging Pada Flashdisk

Dalam dunia forensika digital (digital forensics), aturan emas yang tidak boleh dilanggar adalah jangan pernah melakukan analisis langsung pada media barang bukti asli (Original Source). Setiap interaksi langsung dengan media penyimpanan asli dapat berisiko mengubah metadata file, memodifikasi timestamp, atau sampai merusak struktur data di dalamnya. 

 

Oleh karena itu, langkah awal yang wajib dilakukan adalah melakukan proses akuisisi data atau dikenal sebagai Forensic Imaging. Proses imaging ini menghasilkan salinan bit-demi-bit (bit-by-bit copy) yang identik dari seluruh isi media penyimpanan, termasuk area yang tidak teralokasi (unallocated space) yang sering kali menyimpan sisa-sisa file yang telah dihapus oleh pelaku kejahatan. 

 

Dalam praktiknya, salah satu tool yang paling sering digunakan untuk melakukan forensic imaging pada flashdisk maupun media penyimpanan lain seperti HDD, SDD dan sejenisnya adalah FTK Imager. Dengan FTK Imager, examiner dapat membuat salinan forensik yang aman tanpa harus bekerja langsung pada barang bukti asli, sekaligus memverifikasi integritas salinan tersebut melalui perhitungan hash.

 

Pada artikel ini, kita akan membahas langkah‑demi‑langkah bagaimana melakukan forensic imaging pada flashdisk menggunakan FTK Imager secara aman, mulai dari persiapan media, pemilihan format output forensic image, hingga proses verifikasi hash sebelum image tersebut dianalisis lebih lanjut.

Mengenal Aplikasi FTK Imager

FTK (Forensic Toolkit) Imager dikembangkan oleh AccessData (yang saat ini merupakan bagian dari Exterro), FTK Imager adalah data preview dan imaging tool yang diakui sebagai standar industri untuk digital forensik di seluruh dunia. Hebatnya, berbeda dengan perangkat lunak forensik komersial yang harganya sangat mahal, FTK Imager disediakan secara gratis.

 

Aplikasi ini tidak hanya berfungsi sekadar untuk membuat image file dari baik itu harddisk, flashdisk, maupun CD/DVD. FTK Imager memiliki fitur-fitur tangguh lainnya, seperti:

  • Capture Memory (RAM): Memungkinkan investigator mengambil salinan memori volatil (RAM) yang sedang berjalan pada komputer target, sangat berguna seperti menganalisis malware aktif atau mengekstrak password.
  • Data Preview: Memungkinkan investigator untuk melihat langsung struktur file dan folder setelah dilakukan proses imaging (termasuk file/folder tersembunyi atau baru saja dihapus) tanpa perlu melakukan mount atau mengubah metadata aslinya.
  • Mount Image: Membuka file hasil imaging (.E01, .dd, .AD1) sebagai drive lokal read-only pada komputer investigator.
  • Portabilitas: FTK Imager memiliki versi Lite atau portabel yang dapat dijalankan langsung dari flashdisk investigator tanpa perlu diinstal di komputer target (memungkinkan untuk Live Forensics).

Persiapan Sebelum Memulai

Sebelum kita praktek melakukan akuisisi dengan FTK Imager, pastikan kamu telah menyiapkan komponen keamanan berikut untuk menjaga validitas hukum dari barang bukti digital:

  • Software FTK Imager: Kamu dapat mengunduh versi installer dari situs resmi Exterro: https://www.exterro.com/digital-forensics-software/ftk-imager.
  • Hardware Write-Blocker atau Software Write-Blocker (Opsional tapi Direkomendasikan): Digunakan untuk 
  • Media Penyimpanan Hasil (Destination Drive): Pastikan harddisk lokal atau drive eksternal komputer
    pemeriksa Anda memiliki kapasitas kosong yang lebih besar daripada total kapasitas flashdisk target
    yang akan di-imaging.

Memahami Format Output Forensic Image

Saat melakukan konfigurasi di FTK Imager, kamu akan diminta untuk memilih format file hasil akuisisi. Berikut adalah penjelasan tentang format output yang dihasilkan oleh FTK Imager agar kamu tahu kapan harus memilih format tertentu:

  • RAW/DD: Format .dd/.raw atau Salinan bit-by-bit murni tanpa enkapsulasi. Memiliki kompatibilitas universal tinggi dengan hampir semua alat analisis forensik (Autopsy, EnCase, X-Ways).
  • E01 (Expert Witness Format): Format ini mendukung kompresi data (menghemat ruang penyimpanan) dan enkripsi. Dapat menyimpan metadata kasus seperti nomor kasus, nama pemeriksa, deskripsi bukti serta nilai hash langsung di dalam file.

Langkah Langkah Forensic Imaging

Langkah 1: Menghubungkan Flashdisk dan Membuka Aplikasi

Hubungkan flashdisk target ke komputer investigator kemudian jalankan software FTK Imager.

Langkah 2: Memulai Menu Pembuatan Image Disk

Klik menu File pada pojok kiri atas, kemudian pilih opsi “Create Disk Image…” . Kemudian akan tampil pop up baru “Select Source”.

Langkah 3: Memilih Tipe Source

Di tahap ini kamu akan ditampilkan daftar pilihan drive, Physical Drive, Logical Drive, Image File, Contents of a Folder dan Fernico Device (multiple CD/DVD).

Pada opsi kali ini, pilih Physical Drive kemudian Next. 

*Physical Drive menjamin FTK Imager mengambil seluruh sektor fisik flashdisk dari sektor paling awal hingga akhir, termasuk area partisi tersembunyi, MBR/GPT, master file table, dan unallocated clusters.

Lalu pada dropdown “Source Drive Selection” pilih nama flashdisk kamu (disini nama flashdisk yang digunakan adalah PHYSICALDRIVE1 – USB SanDisk 3.2 Gen 1). Sesuaikan juga dengan kapasitas besaran storage yang dimiliki.

Langkah 4: Mengonfigurasi Lokasi Output dan Metada

Pada jendela Create Image, klik tombol Add… untuk menentukan destinasi. Pilih format Raw (dd), lalu klik Next .

Pada jendela Evidence Item Information, kamu akan menginputkan form informasi dari evidence/kasus ini. Isikan sesuai standard investigasi kamu:

  • Case Number: Nomor registrasi kasus investigasi (misal: 2026-CRIME-04).
  • Evidence Number: Kode unik fisik barang bukti (misal: BB-01).
  • Unique Description: Deskripsi fisik flashdisk (misal: Flashdisk SanDisk Cruzer Blade 16GB Warna Merah
    Hitam).
  • Examiner: Nama lengkap Anda sebagai analis forensik digital

Kemudian klik Next.

Pada jendela Select Image Destination disini kamu diminta untuk menentukan folder tujuan export dan nama file hasil imaging.

  • Image Destination Folder (pilih folder di PC Kamu)
  • Image File Name (masukkan nama file tanpa ekstensi, contoh: BB-01_Flashdisk_Suspect). 

Set Image Fragment Size (MB) ke 0 = do not fragment, agar hasil akuisisi tidak terpecah menjadi beberapa part/file dan akan menjadi 1 file utuh dengan format Raw (dd), lalu klik Finish .

Langkah 5: Eksekusi Proses dan Verifikasi Hashing

Pada jendela terakhir yaitu Create Image, sebelum mengklik tombol Start, pastikan Anda mencentang opsi “Verify images after they are created“. Ini adalah fungsi vital yang otomatis memvalidasi akurasi hasil salinan. Klik Start.

FTK Imager akan memulai proses penyalinan bit-by-bit. Durasi waktu bergantung pada kapasitas flashdisk dan kecepatan port USB Anda (USB 2.0 vs USB 3.0). Setelah proses pembuatan selesai, FTK Imager langsung menjalankan proses kalkulasi verifikasi matematika untuk menghasilkan nilai hash.

Memvalidasi Integritas Data

Begitu proses imaging selesai, jendela Image Verification Results akan muncul. Bagian inilah yang menjadi tiang pancang aspek hukum di persidangan. Anda harus memperhatikan nilai MD5 Hash dan SHA-1 Hash. Pastikan status yang tertera di bagian bawah menunjukkan kesamaan antara nilai komputasi drive asal dengan hasil komputasi file berkas gambar:

MD5 Hash verify result: Match

SHA1 Hash verify result: Match

Jika status menunjukkan Match, ini membuktikan bahwa file hasil imaging Raw (.dd) yang kamu buat 100% identik dengan kondisi flashdisk fisik saat diekstraksi, tanpa ada perubahan satu bit data pun. 

FTK Imager juga secara otomatis menghasilkan 2 file berkas di folder destinasi; 

  • File imaging (BB-01_Flashdisk_Suspect.001.dd) 
  • Log teks (BB-01_Flashdisk_Suspect.001.txt)

Penutup

Proses forensic imaging menggunakan FTK Imager sangat efisien namun tetap menuntut ketelitian prosedural yang tinggi agar keabsahan bukti digital terjaga. File citra berformat RAW (.dd) yang dihasilkan merupakan salinan bit‑per‑bit dari seluruh isi flashdisk, termasuk file yang masih terlihat oleh sistem operasi, berkas yang sudah dihapus, hingga ruang kosong (unallocated space) yang masih menyimpan jejak aktivitas pengguna.

Image RAW/DD yang “polos” tanpa kompresi dan metadata tambahan ini sangat fleksibel untuk dianalisis di berbagai tool forensik seperti Autopsy maupun toolkit berbasis command line di Linux. Melalui format file .dd inilah kamu dapat menelusuri kembali berkas terhapus, mengidentifikasi artefak tersembunyi, dan menyusun timeline kejadian secara lebih utuh tanpa perlu lagi menyentuh media barang bukti asli.

Kemudian peran seorang digital forensic examiner bukan hanya berhasil membuat image, tetapi juga memastikan bahwa setiap langkah mulai dari proses imaging, perhitungan dan pencatatan hash, hingga penyimpanan file .dd terdokumentasi dengan baik dan dapat dipertanggungjawabkan. Praktik sederhana seperti selalu bekerja pada salinan forensik, bukan pada flashdisk asli, menjadi fondasi penting agar proses analisis ke depan tetap kuat secara teknis maupun legal.

Terakhir, dengan menguasai penggunaan FTK Imager untuk menghasilkan image RAW (.dd) dari flashdisk, Anda sudah membangun pondasi yang solid untuk melangkah ke tahap berikutnya: analisis mendalam di Autopsy atau tool lain yang Anda gunakan dalam penyelidikan.

Share

Picture of Zahran Rafif

Zahran Rafif

Saya adalah orang yang memiliki minat di dunia Cyber Security dan Digital Forensik

Postingan Terbaru

Related Posts

Scroll to Top