Investigation Models Digital Forensic

Meningkatnya aktivitas kriminal yang menggunakan informasi digital sebagai sarana atau
target menjamin adanya cara terstruktur dalam mengatasinya. Karena lebih banyak informasi
tersimpan dalam bentuk digital, kemungkinan besar bukti yang dibutuhkan untuk mengadili
para penjahat juga dalam bentuk digital. Dalam penanganan bukti digital dikenal dengan
digital forensic investigation models. Investigation models merupakan proses yang diambil
untuk melakukan penyelidikan yang diajukan.

Dalam sejarahnya, telah banyak muncul model investigasi dalam digital forensik diantaranya
sebagai berikut:

Pertama pada tahun 1984, Pollite mengusulkan tahapan investigasi yang mana dengan model
ini hasil investigasinya bisa dipercaya secara ilmiah dan bisa diterima secara hukum.

Computer Forensic Investigative Process

Pada tahap Acquisition, bukti diperoleh dengan cara yang layak dengan persetujuan dari
otoritas yang tepat. kemudian diikuti dengan fase Identification dimana tugas untuk
mengidentifikasi komponen digital dari bukti yang diperoleh dan mengubahnya menjadi
format yang dipahami oleh manusia. Tahap Evaluation terdiri dari tugas untuk menentukan
apakah komponen yang diidentifikasi pada tahap sebelumnya, memang relevan dengan kasus
yang sedang diselidiki dan dapat dianggap sebagai bukti yang sah. Pada tahap akhir,
Admission (Penerimaan), bukti yang diperoleh dan diekstraksi diajukan di pengadilan.

Setelah itu Pada tahun 2001, Digital Forensics Research Workshop (DFRWS) mengusulkan
sebuah proses penyelidikan forensik digital untuk tujuan umum. Ini terdiri dari 6 fase.
 Digital Forensics Research Workshop (DFRWS)

DFRWS Model investigasi dimulai dengan fase Identification, dimana deteksi profil,
pemantauan sistem, analisis audit, dan sebagainya dilakukan. Hal ini segera diikuti oleh fase
Preservation (Pelestarian), yang melibatkan tugas-tugas seperti menyiapkan manajemen
kasus yang tepat dan memastikan rantai pengawalan yang dapat diterima. Fase ini sangat
penting untuk memastikan bahwa data yang dikumpulkan bebas dari kontaminasi. Fase
berikutnya dikenal sebagai collection (Koleksi), dimana data yang relevan dikumpulkan
berdasarkan metode yang disetujui yang memanfaatkan berbagai teknik pemulihan. Setelah
fase ini ada dua fase penting, yaitu fase Examination (Pemeriksaan) dan fase Analisis.
Dalam dua tahap ini, tugas seperti pelacakan bukti, validasi bukti, pemulihan data
tersembunyi / terenkripsi, data mining, timeline, dll, dilakukan. Tahap terakhir adalah
Presentation (Presentasi). Tugas yang berkaitan dengan tahap ini adalah dokumentasi,
kesaksian ahli, dll

Terinspirasi oleh model investigasi DFRWS, pada tahun 2002 Reith, Carr & Gunsch,
mengajukan model yang disempurnakan yang dikenal dengan Abstract Digital Forensic
Model. Dalam model ini, diperkenalkan tiga fase tambahan, sehingga memperluas jumlah
fase menjadi sembilan.

Abstract Digital Forensic Model

Fase pertama di ADFM adalah fase Identifikasi. Pada tahap ini, tugas mengenali dan
menentukan jenis kejadian dilakukan. Begitu tipe kejadian dipastikan, tahap selanjutnya,
Preparation (Persiapan) dilakukan, dilanjutkan dengan tahapan Approach Strategy. Data
fisik dan digital yang diperoleh harus benar terisolasi, aman dan terpelihara. Ada juga
kebutuhan untuk memperhatikan rantai penahanan yang tepat. Semua tugas ini dilakukan di
bawah tahap Preservation (Pelestarian). Selanjutnya adalah fase Collection
(Pengumpulan), dimana ekstraksi data dan duplikasi dilakukan. Identifikasi dan lokasi bukti
potensial dari data yang terkumpul, dengan menggunakan pendekatan sistematis dilakukan
pada tahap berikutnya, yang dikenal sebagai tahap examination (Pemeriksaan). Tugas
penentuan signifikan bukti dan kesimpulan gambar berdasarkan bukti yang ditemukan
dilakukan dalam tahap analisis. Pada tahap berikut, tahap Presentasi, temuan dirangkum dan
dipresentasikan. Proses penyidikan selesai dengan tahap Returning Evidence.

Pada tahun 2003, Carrier & Spafford mengusulkan proses investigasi dengan maksud
menggabungkan berbagai proses investigasi yang tersedia menjadi satu model terintegrasi.
Proses ini memperkenalkan konsep TKP digital yang mengacu pada lingkungan virtual yang
dibuat oleh perangkat lunak dan perangkat keras dimana bukti digital adanya kejahatan atau
kejadian ada.

Integrated Digital Investigation Process (IDIP)

Prosesnya dimulai dengan fase yang membutuhkan infrastruktur fisik dan operasional agar
siap mendukung penyelidikan di masa depan. Dalam fase Readiness (Kesiapan) ini,
peralatan harus selalu siap dan personil harus mampu menggunakannya secara efektif. Fase
ini memang merupakan fase yang terus berlanjut sepanjang siklus hidup sebuah organisasi.
Ini juga terdiri dari 2 sub tahap yaitu, kesiapan operasi kesiapan dan kesiapan infrastruktur.
Segera setelah fase Kesiapan, adalah tahap Deployment (Penerapan), yang menyediakan
mekanisme agar insiden terdeteksi dan dikonfirmasi. Dua sub tahap selanjutnya
diperkenalkan, yaitu Deteksi & Pemberitahuan dan Konfirmasi & Otorisasi. Mengumpulkan
dan menganalisa bukti fisik dilakukan dalam tahap Physical Crime Scene Investigation.
Sub-tahap yang diperkenalkan adalah Pelestarian, Survei, Dokumentasi, Pencarian &
Pengumpulan, Rekonstruksi dan Presentasi. Digital Crime Scene Investigation mirip
dengan Physical Crime Scene Investigation dengan pengecualian bahwa sekarang fokus pada
bukti digital di lingkungan digital. Tahap terakhir adalah fase Review. Seluruh proses
penyelidikan ditinjau untuk mengidentifikasi bidang perbaikan yang dapat menghasilkan
prosedur baru atau persyaratan pelatihan baru.

Sesuai dengan namanya, model investigasi ini didasarkan pada model sebelumnya, Integrated
Digital Investigation Process (IDIP), seperti yang diusulkan oleh Carrier & Spafford. Model
Proses Investigasi Digital yang Disempurnakan, juga dikenal sebagai EDIP memperkenalkan
satu fase penting yang dikenal sebagai fase Traceback. Hal ini untuk memungkinkan
penyidik melacak kembali semua jalan ke perangkat / komputer yang sebenarnya digunakan
oleh penjahat untuk melakukan kejahatan tersebut.

Enhanced Digital Investigation Process Model

Proses penyidikan dimulai dengan fase Readines (Kesiapan) dan tugas yang dilakukan sama
dengan IDIP. Fase kedua, tahap Deployment, menyediakan mekanisme kejadian yang akan
dideteksi dan dikonfirmasi. Terdiri dari 5 sub tahap yaitu Deteksi & Pemberitahuan,
Investigasi Kejahatan Kejahatan Fisik, Investigasi Kejahatan Tindak Pidana Digital,
Konfirmasi dan terakhir, Submisi. Tidak seperti DIP, fase ini mencakup investigasi TKP fisik
dan digital dan penyajian temuan ke badan hukum (via Submission phase). Dalam fase
Traceback, melacak TKP, termasuk perangkat dan lokasi merupakan tujuan utama. Hal ini
didukung oleh dua sub tahap yaitu, Digital Crime Scene Investigation and Authorization
(mendapat persetujuan untuk melakukan investigasi dan akses informasi). Mengikuti fase
Traceback adalah fase Dynamite. Pada tahap ini, penyelidikan dilakukan di TKP utama,
dengan tujuan untuk mengidentifikasi penyebab potensial. Terdiri dari 4 subfase, yaitu,
Physical Crime Scene Investigation, Digital Crime Scene Investigation, Reconstruction and
Communication. Di sub-tahap Rekonstruksi, potongan informasi dikumpulkan disatukan
sehingga bisa dibangun sesuai dengan kejadian yang mungkin terjadi. Subbagian Komunikasi
serupa dengan fase Submission sebelumnya. Proses penyidikan diakhiri dengan fase
Kesiapan dan tugas yang dilakukan sama seperti pada IDIP.

CTTTPM mengusulkan pendekatan di tempat untuk memberikan identifikasi, analisis dan

interpretasi bukti digital dalam kerangka waktu yang relatif singkat tanpa perlu membawa
kembali perangkat atau media kembali ke laboratorium. Juga tidak memerlukan pengambilan
gambar forensik yang lengkap. CFFTPM terdiri dari 6 fase utama yang kemudian dibagi lagi
menjadi 6 sub-fase lainnya
 Computer Forensics Field Triage Process Model (CFFTPM)

CFFTPM memulai dengan fase yang sudah dikenal, tahap Perencanaan. Perencanaan yang
tepat sebelum memulai penyelidikan pasti akan memperbaiki tingkat keberhasilan
penyelidikan. Setelah tahap Perencanaan tahap Triage. Pada fase ini, bukti diidentifikasi dan
diberi peringkat dalam hal kepentingan atau prioritas. Bukti dengan kebutuhan yang paling
penting dan mudah menguap harus diolah terlebih dahulu. Fase User Usage Profile
memusatkan perhatiannya untuk menganalisis aktivitas pengguna dan profil dengan tujuan
untuk menghubungkan bukti dengan tersangka. Membangun kasus kejahatan dari perspektif
kronologis dengan memanfaatkan waktu MAC (misalnya) untuk mengurutkan kegiatan
kejahatan yang mungkin terjadi adalah tujuan utama dari fase Chronology Timeline. Di
tahap Internet, tugas memeriksa artefak layanan terkait internet dilakukan. Terakhir, dalam
fase Case Specific Evidence, penyidik dapat menyesuaikan fokus pemeriksaan dengan
spesifik kasus seperti fokus pada pornografi anak memang akan berbeda dari kasus kejahatan
finansial.

Pada tahun 2009, Perumal, S. mengajukan model penyelidikan forensik digital lainnya yang
didasarkan pada proses penyelidikan Malaysia. Model DFMMIP terdiri dari 7 tahap.
 Digital Forensic Model based on Malaysian Investigation Process (DFMMIP)

Setelah selesai tahap pertama, Perencanaan, tahap berikutnya, Identifikasi, diikuti. Setelah
itu, fase reconnaissance (pengintaian) dilakukan. Tahap ini berkaitan dengan melakukan
penyelidikan sementara perangkat masih berjalan (dalam operasi) yang serupa dengan
melakukan forensik hidup. Penulis berpendapat bahwa kehadiran akuisisi data langsung yang
berfokus pada bukti rapuh justru meningkatkan peluang penuntutan positif. Sebelum data
dapat dianalisis, data harus diangkut dengan aman ke lokasi penyelidikan dan disimpan
dengan benar. Hal ini memang dilakukan di fase Transport & Storage. Setelah data siap,
tahap analysis dipanggil dan data akan dianalisis dan diperiksa dengan menggunakan alat dan
teknik yang sesuai. Serupa dengan tahap Presentasi pada model sebelumnya, para peneliti
akan diminta untuk menunjukkan bukti untuk mendukung kasus yang diajukan. Hal ini
dilakukan di fase Proof & Defence. Akhirnya, fase Archive Storage (Penyimpanan Arsip)
dilakukan, dimana bukti yang relevan disimpan dengan benar untuk referensi di masa
mendatang dan mungkin juga dapat digunakan untuk tujuan pelatihan.

Pada tahun 2011, yusof dkk memperkenalkan model investigasi yang di sebut
dengan Generic Computer Forensic Investigation Model (GCFIM).
 Generic Computer Forensic Investigation Model (GCFIM).

Terdapat 5 tahapan dari model ini, yakni:

1. Pre-Process: investigator melakukan hal yang berhubungan dengan pekerjaan

sebelum melakukan investigasi, seperti mempersiapkan surat dan dokumen resmi, dan
juga mempersiapkan alat-alat yang nantinya akan digunakan.
2. Acquisition & Preservation: pada tahap ini, semua data yang relevan diambil,
disimpan dan dipersiapkan untuk tahap selanjutnya.
3. Analysis: tahapan ini merupakan proses utama dalam penyelidikan komputer
forensik, yakni dilakukan analisa pada data yang telah diperoleh pada tahap
sebelumnya untuk dilakukan identigikasi sumber kejahatan, motif kejahatan dan pada
akhirnya menemukan orang yang bertanggungjawab atas kejahatan tersebut.
4. Presentation: setelah melakukan analisa, maka tahapan ini adalah melakukan
presentasi terhadap hasil yang sudah didapatkan ke pihak yang berwenang. Tahapan
ini penting, mengingat hasil analisa yang ada tidak hanya harus dipresentasikan saja,
namun juga harus didukung dengan bukti yang memadai/memenuhi syarat dan dapat
diterima. Hasil dari tahap ini adalah untuk membuktikan dan/atau menyangkal dugaan
tindak pidana.
5. Post-Process: Tahapan ini merupakan tahapan akhir, yang mana bukti digital dan
fisik harus dikembalikan kepada pemilik yang sah dan disimpan di tempat yang aman.
Investigator meninjau ulang proses investigasi yang telah dilakukan agar dapat
digunakan untuk perbaikan proses penyelidikan selanjutnya.

Jika kita perhatikan, pada model GCFIM ini arah panah pada setiap tahapan tergambar bolak
balik atau dua arah, artinya bahwa setiap tahapan dapat diulang kembali. Hal ini dapat
dilakukan apabila pada saat investigasi terjadi sesuatu yang tidak diinginkan atau masih ada
proses yang luput, sehingga investigator dapat mengulang tahapan yang diperlukan tanpa
harus mengulang dari tahap pertama.
kemudian pada tahun 2016 Omrani Takwa dkk merilis model investigasi , yang judulnya A
New Digital Investigation Frameworks Comparison Method. Model yang disulkan ini diakui
bisa menghemat waktu, reusability, dan prosesnya terjaga keamanannya.

A New Digital Investigation Frameworks Comparison Method

Tahapan dari model ini antara lain:

1. Pre-processing: tahap ini dilakukan sebagai persiapan dan pengecekan alat software
dan hardware yang akan digunakan. Pada tahap ini juga akan diuji kemampuan dan
pengalaman penyelidik (investigator), serta anggota penyelidik yang akan diberi
otoritas untuk melakukan investigasi agar proses investigasi berjalan lancar. Tahap
awal ini investigator akan difasilitasi untuk kebutuhan dalam mendapatkan data yang
relevan dan fasiltas yang diperlukan untuk membantu penyelesaian masalah
investigasi pada tahap berikutnya.
2. Collection
 o Localization: merupakan tahap untuk mengidentifikasi data yang relevan yang
kemudian dilakukan lokalisasi.
o Identification: merupakan tahap untuk mengidentifikasi informasi yang
tersembunyi.
Pada tahap identikasi maka pemeriksa harus dapat mengidentifikasi beberapa
hal, yaitu:
a. Kewenangan Hukum untuk memeriksa perangkat (berupa surat tugas resmi
dari aparat hukum)
b. Tujuan Pemeriksaan
c. Identifikasi mengenai perangkat, mulai dari “Pabrikan mana”, model,
spesifikasi atau informasi lain terkait barang bukti yang didapa

o Scheduling: merupakan tahap untuk mengurutkan data berdasarkan prioritas

dan kehandalan data.
3. Classification: tahap ini data akan dikelompokkan berdasarkan hasil dari proses
investigasi sebelumnya dan dibandingkan dengan hasil dari proses investigasi saat ini.
Tahap ini diselesaikan menggunakan dengan cara statistik dan teknik fusi data, yang
tujuannya adalah untuk memahami kasus kejadian dan mempercepat pemilihan solusi
investigasi yang andal.
4. Analysis: tahap ini adalah melakukan analisa terhadap data yang sudah dikumpulkan
untuk mendapatkan estimasi, kemungkinan, dan hipotesis dari data yang akan
berpotensi menjadi barang bukti.
5. Examination: tahap ini adalah tahap pengujian keabsahan data, keutuhan data dan
keterkaitan data dengan tindak kriminal suatu kasus.
6. Presentation: tahap ini adalah tahap presentasi bukti digital kepada pihak yang
berwenang dengan menggunakan bahasa yang dapat dipahami dan dipahami oleh
orang-orang di persidangan.
7. Rapport: tahap ini merupakan tahapan untuk mencari hubungan dari semua hasil
investigasi. Hasil dari tahap ini seperti penetapan barang bukti, penjelasan, kebijakan
baru dan prosedur investigasi, penutupan kegiatan investigasi.
8. Preservation: tahap ini, barang bukti baik yang berupa fisik maupun digital akan
dijaga kamanan, dan keutuhannya pada setiap tahapan proses investigasi, sehingga
validitas dan integritas barang bukti tetap terjaga.
9. Owner property: tahap akhir setelah proses investigasi selesai, semua barang bukti
yang disita akan dikembalikan secara utuh kepada pemiliknya. Utuh maksudnya,
keadaan seluruh barang bukti fisik sebelum disita dan setelah disita tetap sama dan
keadaan seluruh informasi dan otoritas yang ada pada barang bukti yang disita
dikembalikan sepenuhnya kepada pemiliknya sesuai keadaan sebelum dista.

Kesimpulannya, dari banyaknya model investigasi yang telah ada, membuktikan bahwa
selalu ada perkembangan dari model investigasi. Perkembangan model investigasi
dipengaruhi pula jenis regulasi yang diatur oleh suatu negara dan jenis kriminal yang ada,
karena setiap negara pasti menghadapi permasalahan kriminallitas yang berbeda-beda. Begitu
juga dengan relevansi model investigasi GCFIM yang diajukan oleh Yussof tahun 2011, saat
ini masih relevan karena masih diterapkan di negara malaysia. seperti halnya model
investigasi yang diajukan oleh Omrani Takawwa dkk tahun 2016 yang diterapkan di negara
tunisia. Ini membuktikan bahwa model investigasi di suatu wilayah berbeda tergantung
tingkat kemajuan dan tingkat kriminallitas.

Sumber
 M. Pollitt, (1995) “Computer Forensics: An Approach to Evidence in Cyberspace”, in
Proceeding of the National Information Systems Security Conference, Baltimore,
MD, Vol. II, pp.487-491.
 M. Pollitt, (2007) “An Ad Hoc Review of Digital Forensic Models”, in Proceeding of
the Second International Workshop on Systematic Approaches to Digital Forensic
Engineering (SADFE’07), Washington, USA.
 Palmer, (2001) “DTR-T001-01 Technical Report. A Road Map for Digital Forensic
Research”, Digital Forensics Workshop (DFRWS), Utica, New York.
 Reith, C. Carr & G. Gunsh, (2002) “An Examination of Digital Forensics Models”,
International Journal of Digital Evidence, Vol. 1, No. 3.
 Carrier & E. H. Spafford, (2003) “Getting Physical with the Digital Investigation
Process”, International Journal of Digital Evidence, Vol. 2, No. 2
 Baryamereeba & F. Tushabe, (2004) “The Enhanced Digital Investigation Process
Model”, in Proceeding of Digital Forensic Research Workshop, Baltimore, MD.
 K. Rogers, J. Goldman, R. Mislan, T. Wedge & S. Debrota, (2006) “Computer
Forensic Field Triage Process Model”, presented at the Conference on Digital
Forensics, Security and Law, pp. 27-40.
 Sundresan, (2009) “Digital Forensic Model based on Malaysian Investigation
Process”, International Journal of Computer Science and Network Security, Vol. 9,
No. 8.
 Yunus Yusoff, dkk (2001), “Common Phases Of Computer Forensics Investigation
Models” International Journal of Computer Science & Information Technology
(IJCSIT), Vol 3, No 3,