ANALISIS FORENSIK KOMPUTER PADA HARD

FORMAT SOLID STATE DRIVE

UAS COMPUTER FORENSIC

DIBUAT UNTUK MEMENUHI TUGAS COMPUTER FORENSIC

Panji Prakoso
4518210050

Dosen:
Gregorius Hendita Artha Kusuma

Teknik Informatika
Fakultas Teknik Universitas Pancasila
T.A. 2021/2022
 ABSTRAK

Kejahatan komputer memiliki bukti kejahatan digital dan perlu dianalisis. Pesatnya
perkembangan teknologi komputer pada perangkat keras, saat ini berkembang media
penyimpanan komputer non-volatile Solid State Drive (SSD). Teknologi SSD memiliki
kecepatan akses data yang lebih cepat dari Hard Disk dan saat ini mulai menggantikan media
penyimpanan Hard Disk. Penggunaan software pembekuan drive pada komputer sering
dilakukan oleh para teknisi komputer, karena dapat menghemat biaya perawatan. Pembekuan
software pada sistem komputer sering dilakukan oleh para teknisi komputer, karena dapat
menghemat biaya perawatan komputer akibat error, terkena virus atau malware komputer.
Software ini digunakan untuk melindungi komputer dari perubahan yang tidak diinginkan,
sistem komputer yang menggunakan software frozen drive tidak disimpan pada media
penyimpanan setelah komputer dimatikan. Ketika ini terjadi, apa yang harus dilakukan
penyidik forensik digital. Penelitian ini membahas tentang perbandingan alat forensik terkait
yang digunakan untuk proses pemeriksaan dan analisis. Software pembekuan drive seperti
Shadow Defender telah terbukti mempengaruhi praktik pemeriksaan forensik digital pada
perolehan bukti digital, dengan persentase pemulihan file yang berhasil hanya 28,7% sehingga
dapat menjadi kendala dalam proses forensik digital.

Kata kunci : Forensik, Digital, Bukti, SSD, cybercrime, solid state drive.
PENDAHULUAN
Perkembangan teknologi informasi dan komunikasi yang demikian pesat telah
membawa perubahan pada bidang perangkat lunak (software), perangkat keras (hardware), dan
budaya masyarakat (brainware). Aktivitas penggunaan teknologi informasi dan komunikasi
yang pada mulanya menuntut peralatan-peralatan pemrosesan data yang sangat besar dan
rumit, kini digantikan oleh perangkat otomasi digital dan perangkat jinjing (portable). Aktifitas
manusia saat ini sebagian besar berhubungan dengan data, informasi, dan komunikasi, serta
dalam kegiatannya secara langsung maupun tidak langsung akan berhubungan dengan
perangkat teknologi computer. Penggunaan teknologi komputer sehari-hari pada dasarnya
memiliki manfaat yang sangat besar, sebagai dampak penggunaan dari komputer memiliki
manfaat positif dan ada dampak negatif. Manfaat secara positif dari teknologi komputer yang
ditimbulkan sangat bermanfaat, sehingga dapat membantu proses dari pekerjaan yang sulit
menjadi mudah dan membantu aktivitas manusia menjadi lebih mudah, cepat, serta efisien.
Adapun dampak teknologi komputer secara negatif yaitu adanya penyalahgunaan terhadap
teknologi komputer itu sendiri yang digunakan untuk tindak kejahatan, sehingga dapat
menimbulkan kerugian perseorangan, golongan, instansi, lembaga, atau bahkan negara.
Kejahatan komputer atau disebut computer crime merupakan kejahatan yang melibatkan
teknologi komputer yang ada didalamnya (1) . Kejahatan komputer memiliki bukti elektronik
dan digital dari tindak kejahatan berupa jejak aktivitas kejahatannya dan perlu dilakukan
analisa terhadap bukti digital yang didapatkan dengan ilmu dan metode forensik.
Pada bidang teknologi, analisa forensik terhadap barang bukti digital atau elektronik
disebut dengan sebutan komputer forensik atau digital forensic. Digital forensic itu sendiri
merupakan tindakan memperoleh, mengambil, melestarikan, dan menyajikan data sesuai
dengan metode dan tool forensik. Dalam kasus kejahatan teknologi komputer yang terjadi pada
umumnya akan meninggalkan jejak kegiatan kriminal. Sejarah yang terkait dengan kejahatan
dapat digunakan sebagai bukti. Pembuktian kejahatan komputer dapat berupa barang bukti
elektronik dan barang bukti digital. Barang bukti elektronik dapat berupa bentuk fisik dari alat
elektronik tersebut atau dapat berupa media penyimpanan (storage device), sedangkan barang
bukti digital dapat berupa file dokumen, file history, atau file log yang dapat digunakan sebagai
informasi pendukung pengambil keputusan. Barang bukti elektronik dan barang bukti digital
menjadi hal terpenting dalam suatu kasus kejahatan komputer, karena kegiatan kejahatan
komputer dicatat oleh sistem komputer pada media penyimpanan utama komputer.
Komputer memiliki dua jenis media penyimpanan berjenis Non Volatile Memory dan
Volatile Memory. Non Volatile Memory memungkinkan data yang tersimpan tidak akan hilang
meskipun aliran listrik terputus, seperti Hard Drive, Harddisk, Solid State Drive, USB
flashdisk, dan Nand Flash. Sedangkan media penyimpanan Violatile Memory akan kehilangan
data ketika aliran listrik terputus, seperti pada RAM (Random Access Memory). Perkembangan
teknologi perangkat keras komputer semakin berkembang pesat. Pada teknologi Non Volatile
Memory saat ini berkembang teknologi Solid State Disk (SSD). SSD merupakan salah satu
media penyimpanan utama selain Harddisk. Teknologi SSD menggunakan solid state memory
untuk penyimpanan datanya, SSD menggunakan teknologi yang hampir mirip seperti RAM
(Random Access Memory). SSD menggunakan semikonduktor, sedangkan pada Harddisk
menggunakan platter magnetis yang berputar. Meskipun secara teknis bukan sebuah disk tetapi
bentuk atau dimensi SSD sama dengan harddisk, sehingga dapat diletakkan pada komputer dan
notebook. SSD juga menggunakan interface yang sama pada Harddisk yaitu Serial Advanced
Technology Attachment (SATA) atau Integrated Drive Electronics (IDE). Saat ini SSD
berangsur-angsur menggantikan posisi Harddisk pada media penyimpanan utama komputer.
Pengumpulan bukti digital pada media penyimpan komputer atau non-volatile memory
(NVM) atau non-volatile evidence collection melibatkan pengumpulan bukti dari media
simpan komputer seperti MMC Card, Compact Flash, Flash Disk, SD Card, Flash Memory,
Harddisk, Solid State Disk, dan yang sejenis. Penelitian lainnya terhadap media simpan yang
pernah dilakukan, yaitu penelitian terhadap Harddisk dan SSD dengan perlakuan yang sama,
file yang sama, dilakukan penghapusan file dan format dengan interval yang sama kemudian
dianalisis menggunakan tool FTK Toolkit, diperoleh hasil bahwa setelah dilakukan tindakan
yang sama pada kedua drive tersebut hasil yang diperoleh tidak sama sehingga menimbulkan
permasalahan bagi penyidik. Hasil penelitian serupa pada forensik digital SSD menunjukkan
hasil perolehan data pada SSD tidak dapat diprediksi dan bervariasi. Hasil perolehan data pada
SSD ada pengaruh dari fitur TRIM, TRIM terbukti berpengaruh terhadap praktek examinasi
dan analisis forensika digital pada SSD. SSD dalam posisi fitur TRIM dalam keadaan non-aktif
(disable) sebagian besar data yang terhapus data di-recovery kembali seperti halnya melakukan
recovery data pada Harddisk konvensional. Namun, berbeda dengan SSD dalam posisi fitur
TRIM dalam keadaan aktif (enable), sebagian besar data yang terhapus tidak dapat di-recovery
kembali. TRIM merupakan sebuah perintah yang langsung ditujukan kepada kepada firmware
dari SSD.
Selain itu tool forensik yang sesuai diperlukan untuk mengumpulkan bukti dan
memastikan diterimanya bukti digital dan integritas dari keaslian bukti digital yang didapatkan
dan juga perlu dipastikan melalui mekanisme seperti hashing atau menerapkan write protection
untuk menjaga integritas data dan mencegah adanya perubahan data atau file yang
mengakibatkan tidak diterimanya sebagai bukti digital. Perbedaan penggunaan tool forensik
juga akan mempengaruhi bukti digital yang didapat. Pada penelitian Rosalina et al melakukan
analisa forensik menggunakan tool forensik yaitu X-Ways Forensics dan WinHex dari kedua
tool tersebut dapat digunakan untuk mekanisme pengembalian data atau file secara otomatis
maupun pengembalian secara manual, dan dapat digunakan pada media penyimpanan termasuk
SSD. Selain obyek forensik dan tool forensik adalah metode analisa forensik, menurut Argawal
pemilihan model, metode, atau sistematika investigasi digital forensik diantaranya harus
memenuhi individualitas (individuality), keterulangan (repeatability), kehandalan (reliability),
kinerja (performance), kemampuan uji (testability), skalabilitas (scalability), dan standar
kualitas (quality standards). Pada analisa forensik dapat mengacu dan menggunakan metode
dari National Institute of Justice (NIJ) dengan alur identification, collection, examination,
analysis, dan reporting, atau dapat menggunakan metode dari National Institute of Standards
and Technology (NIST) dengan rangkaian forensik collection, examination, analysis, dan
reporting.
METODOLOGI
Analisis forensik bukti digital atau elektronik disebut sebagai komputer forensik atau
digital forensik. Forensik digital adalah tindakan memperoleh, mengambil, melestarikan, dan
menyajikan data sesuai dengan metode dan alat forensik. Penyidikan kejahatan digital sangat
diperlukan untuk membantu proses penyidikan. Demikian pula analisis barang bukti digital
perlu dilakukan sesuai dengan prosedur penanganan yang spesifik dan metode analisis forensik
yang tepat, untuk memperoleh barang bukti digital yang baik, sehingga dari alat bukti digital
tersebut diperoleh alat bukti berupa informasi yang sahih untuk mendukung putusan hukum
suatu perkara. kasus kejahatan komputer. Analisis forensik menerapkan metode dari National
Institute of Standards and Technology (NIST) dengan tahapan forensik Collection,
Examination, Analysis and Reporting. Metode analisis forensik dari National
Institute of Standards and Technology (NIST) menjelaskan bagaimana tahapan analisis
forensik yang akan dilakukan, sehingga dapat diketahui alur dan langkah-langkah penelitian
secara sistematis sehingga dapat dijadikan pedoman dalam memecahkan masalah yang ada.
Melakukan teknik forensik dan analisis forensik berdasarkan metode yang benar akan memiliki
keberhasilan yang tinggi dalam mengumpulkan data forensik. Tahapan dalam penelitian ini
mengadopsi dan mengimplementasikan National Institute of Standards and Technology
(NIST), seperti yang ditunjukkan pada Gambar

Tahapan dari metode NIST dibagi menjadi empat tahap, yaitu Collecting, Examination,
Analysis, dan Reporting. Deskripsi lengkapnya adalah sebagai berikut:
a. collection
Tahap pengumpulan merupakan rangkaian kegiatan pengumpulan data untuk
mendukung proses penyidikan guna menemukan bukti kejahatan digital. Pada tahap ini
terjadi proses pengambilan data dari sumber data yang relevan dan menjaga keutuhan
bukti dari perubahan.
b. Examination
Tahap pemeriksaan adalah tahap pengecekan data forensik yang dikumpulkan baik
secara otomatis maupun manual, dan memastikan bahwa data yang diperoleh berupa file
asli sesuai dengan yang diperoleh di TKP, untuk itu file digital perlu dilakukan
identifikasi dan validasi. file dengan teknik hashing.
c. Analysis
Tahap analisis dilakukan setelah mendapatkan file atau data digital yang diinginkan
dari proses pemeriksaan sebelumnya, kemudian data tersebut dianalisis secara detail dan
komprehensif dengan metode yang dapat dipertanggungjawabkan secara teknis dan legal
untuk dapat membuktikan data tersebut. Hasil analisis data digital selanjutnya disebut
sebagai barang bukti digital dan dapat dipertanggungjawabkan secara ilmiah dan hukum.
d. Report
Tahap pelaporan merupakan kegiatan yang dilakukan setelah barang bukti digital
diperiksa dan dianalisis. Pada tahap ini pelaporan meliputi deskripsi tindakan yang
dilakukan, penjelasan tentang alat, dan metode yang digunakan, menentukan tindakan
yang dilakukan, dan memberikan rekomendasi bagi pengambil kebijakan, metode, alat,
atau aspek pendukung lainnya selama proses forensik digital.
HASIL DAN PEMBAHASAN
Solid State Drive (SSD) Media penyimpanan terdiri dari duajenis Non Volatile
Memory dan Volatile Memory. Non Volatile Memory memungkinkan data yang tersimpan
tidak akan hilang meskipun aliran listrik terputus seperti Hard Drive, Harddisk, Solid State
Drive (SSD), USB flashdisk, dan Nand Flash, sedangkan media penyimpanan Violatile
Memory akan kehilangan data ketika aliran listrik terputus, seperti pada RAM (Random Access
Memory). Solid State Drive atau Solid State Disk disingkat SSD adalah perangkat penyimpan
data yang menggunakan serangkaian IC sebagai memori yang digunakan untuk menyimpan
data atau informasi. SSD merupakan salah satu media penyimpanan utama selain Harddisk.
Teknologi SSD menggunakan solid state memory untuk penyimpanan datanya, SSD
menggunakan teknologi yang hampir mirip seperti RAM (Random Access Memory). SSD
menggunakan semikonduktor, sedangkan pada Harddisk menggunakan platter magnetis yang
berputar. Meskipun secara teknis bukan sebuah disk tetapi bentuk atau dimensi SSD sama
dengan harddisk, sehingga dapat diletakkan pada komputer dan notebook. SSD juga
menggunakan interface yang sama pada Harddisk yaitu Serial Advanced Technology
Attachment (SATA) atau Integrated Drive Electronics (IDE). Saat ini SSD berangsur-angsur
menggantikan posisi Harddisk pada media penyimpanan utama komputer. Frozen Solid State
Drive (SSD) Frozen Solid State Drive yang dimaksudkan disini adalah SSD tersebut dilakukan
pembekuan drive, dimana sistem komputer tersebut terinstal software keamanan yang
digunakan untuk melindungi komputer dari perubahan yang tidak dikehendaki. Software yang
digunakan pada penelitian ini adalah Deep Freeze dan Shadow Defender. Pada software
tersebut memiliki fitur pembeku suatu drive, apabila diaktifkan fiturnya maka perubahan yang
terjadi pada sistem komputer tersebut tidak akan disimpan secara fisik pada drive penyimpanan
utama komputer. Jika komputer tersebut dimatikan dan dihidupkan kembali maka keadaan
sistem komputer akan kembali seperti semula sebelum dilakukan perubahan. Begitu juga jika
melakukan proses penyimpanan file atau data pada drive yang dibekukan, maka ketika
komputer dimatikan dan dihidupkan kembali drive akan kembali pada saat dibekukan. Pada
sistem komputer seperti inilah yang dilakukan analisa bukti digital.
Pada website pengembang software Deep Freeze dikatakan, Deep Freeze menggunakan
teknologi untuk mengalihkan informasi yang ditulis ke hard drive ke tabel alokasi, sehingga
data asli tetap utuh. Informasi yang dialihkan pada tabel alokasi tidak lagi direferensikan begitu
komputer direstart, sehingga mengembalikan komputer ke keadaan semula, sampai ke byte
terakhir. Pengembang software Shadow Defender pada aplikasi Shadow Defender akan
mengambil snapshot dari disk dan menjalankan setiap file dalam mode virtual. Setelah
pengguna keluar dari "dimensi paralel" setiap perubahan pada sistem dan file pada disk akan
dihapus. Kesimpulan adalah bahwa komputer tidak akan terpengaruh oleh perubahan apapun
dan tidak ada file berbahaya yang akan ditulis ke komputer. Begitu juga pengembang software
Toolwiz Time Freeze pada, jika tidak ingin membuat perubahan yang tidak diinginkan pada
sistem, perubahan apa yang dibuat, tidak peduli apa yang terjadi, jika dilakukan restart maka
akan mengembalikan keadaan semula. Begitu juga file yang didownload dari web akan
dihapus, dan perubahan yang tidak diinginkan lainnya semuanya akan dibatalkan saat
dilakukan restart pada PC.
 Pembeku Drive Gambar diatas merupakan cara kerja dari software pembeku drive.
Pada komputer yang terinstal software pembeku drive seperti Deep Freeze atau Shadow
Defender ketika komputer dinyalakan dan digunakan maka blok pada tabel alokasi file akan
terisi, namun ketika komputer di-restart atau dimatikan dan dihidupkan kembali maka blok
pada tabel alokasi file akan terhapus kembali. Tahapan Pengambilan Salinan Bukti Digital pada
Frozen Solid State Drive (SSD) Tahapan pengambilan salinan bukti digital pada SSD yang
dibekukan (frozen solid state drive) mengacu pada metode statis forensik, dalam penelitian ini
seperti disajikan pada Gambar dibawah dan pada penelitian ini menggunakan komputer uji
coba untuk melakukan poreses pengambilan salinan bukti digital.

Tahapan diatas merupakan alur dalam pengambilan pengambilan salinan bukti digital. Pada
tahap pengambilan salinan bukti digital ini yang terpenting adalah keaslian file dan hasil
salinan baik dengan kata lain image salinan dapat dibuka kembali. Tahapan Analisa Forensik
Bukti Digital pada Frozen Solid State Drive (SSD) Gambar di atas Tahapan Analisa Forensik
Bukti Digital pada Frozen Solid State Drive (SSD) Pada tahapan analisa forensik bukti digital
pada SSD yang dibekukan (frozen solid state drive) secara garis besar mengimplementasikan
dan mengadaptasi metode forensik dari National Institute of Standards and Technology
(NIST), hasil salinan atau image dilakukan duplikasi dan dianalisa untuk menemukan bukti
digital. Bukti digital yang diharapkan ditemukan adalah file dokumen (.doc, .xls, .pdf), file
gambar (.jpg, .png), catatan log internet, dan catatan login terbaru, tahapan analisis forensik
digambarkan pada gambar di atas. Tahapan Implementasi dan Pengujian Tahap implementasi
dan pengujian forensik bukti digital pada SSD yang dibekukan (frozen solid state drive)
ditunjukkan pada Gambar dibawah. Implementasi dan pengujian dilakukan dengan tahapan
yang telah ditentukan dalam desain skenario, dengan tujuan untuk mendapatkan bukti digital
seperti pada skenario perencanaan awal.

Tahap terakhir dalam metode forensik NIST adalah pelaporan. Pada tahap ini semua
hasil analisis akan disajikan secara detail dan semua hasil analisis terkait perbandingan kinerja
perangkat forensik yang diperoleh dari frozen solid state drive (SSD) didokumentasikan.
Laporan disajikan dalam bentuk tabel perbandingan berdasarkan hasil artefak dan hasil
restorasi barang bukti digital. Pada Tabel 3 bukti digital diperoleh dari solid state drive (SSD)
beku dengan Deep Freeze.
 Hasil yang diperoleh dari lima perangkat forensik yang digunakan untuk pemeriksaan
frozen solid state drive (SSD) dengan software pembekuan Shadow Defender memiliki dua
alat yang hasilnya sangat baik yaitu RecoverMyFile dan Autopsy. Alat forensik dapat
memulihkan hampir semua file yang diuji. Berbeda dengan tiga alat forensik lainnya, kinerja
alat ini dapat menunjukkan direktori file tetapi tidak dapat menampilkan file artefak. Sehingga
percobaan ini tidak menunjukkan hasil yang diperoleh. Hasil percobaan selanjutnya dapat
dilihat pada Tabel 4, didapatkan hasil pada frozen solid state drive (SSD) dengan software
pembekuan Shadow Defender.

Pada tabel terlihat hasil dari kelima alat forensik yang digunakan, hasil yang didapat
pada proses pemeriksaan terdapat dua alat forensik yang hasilnya sangat signifikan yaitu
RecoverMyFile dan The Sleuth Kit Autopsy. Namun hasil yang didapat berbeda pada frozen
solid state drive (SSD) dengan Deep Freeze dibandingkan dengan Shadow Defender. Untuk
menentukan kinerja alat forensik yang digunakan dan terhadap bukti digital yang diperoleh
dari proses pemeriksaan, peneliti menggunakan perhitungan angka indeks. Perhitungan angka
indeks yang digunakan adalah indeks tidak berbobot, seperti terlihat pada Persamaan

Dalam persamaan tersebut, adalah bukti digital yang diperoleh, ∑ Eo adalah jumlah
sampel eksperimen yang disiapkan sebagai bukti, Eon dan merupakan nilai dari bukti yang
diperoleh. Hasil perhitungan angka indeks dari kinerja alat forensik yang digunakan dan
perangkat lunak pembekuan drive yang diimplementasikan, menunjukkan hasil seperti pada
Tabel 5.
KESIMPULAN
Pada komputer yang menggunakan Solid state drive (SSD) atau Hard disk (HDD), dan dalam
kondisi beku Solid state drive dan pada hard disk dalam kondisi beku, proses forensik dapat
dilakukan meskipun memiliki cara kerja yang berbeda. . Berdasarkan hasil percobaan
penggunaan perangkat lunak beku dan menggunakan berbagai alat forensik untuk proses
ekstraksi dan pemeriksaan. Dapat disimpulkan bahwa tidak semua file dapat dipulihkan dengan
baik karena struktur file dan datanya rusak. Tidak semua artefak dapat dibaca oleh semua
perangkat forensik, hanya beberapa perangkat forensik yang menunjukkan hasil yang
signifikan.
Dari hasil percobaan diperoleh nilai indeks berdasarkan kemampuan alat forensik dalam
mencari dan memulihkan file, dengan RecoverMyFile diperoleh nilai indeks sebesar 76,38%,
Autopsi memiliki nilai indeks sebesar 75,27%, FTK memiliki nilai indeks sebesar 0%, Encase
memiliki nilai indeks 0%, dan OSForensics memiliki nilai indeks 0% yang diperoleh dari 360
file yang diuji dengan kondisi beku dengan software Deep Freeze. Sedangkan dalam kondisi
beku dengan software Shadow Defender, RecoverMyFile memiliki indeks angka 59,72%,
Autopsy memiliki indeks 74,44%, FTK memiliki nilai indeks 0%, Encase memiliki nilai indeks
0%, dan OSForensics memiliki nilai indeks 0% yang diperoleh dari 360 file yang diuji.
Sehingga bisa menjadi kendala dalam proses forensik digital oleh penyidik, dan hasil
penyidikan masih sangat sedikit informasi yang didapat dari barang bukti digital. Berdasarkan
informasi yang diperoleh dari investigasi, eksperimen, dan literatur referensi yang diterapkan
dalam penelitian ini, terbukti bahwa mekanisme frozen solid state drive (SSD) dapat
menghambat penyelidikan forensik digital. Mekanisme ini berpengaruh pada sistem operasi
yang sedang berjalan dan sistem penyimpanan pada komputer.
5 REFERENSI JURNAL :
No Judul Tahun Terbit Penulis
1 ANALISIS FORENSIK DIGITAL PADA FROZEN May 2018 Imam Riadi , Rusydi
SOLID STATE DRIVE DENGAN METODE Umar & Imam
NATIONAL INSTITUTE OF JUSTICE (NIJ) Mahfudl Nasrulloh
2 Digital Evidence Identification on Google May 2019 Anton Yudhana,
Drive in Android Device Using NIST Mobile Rusydi Umar, Ahwan
Forensic Method Ahmadi
3 ANALISIS FORENSIK KOMPUTER PADA HARD Juli 2020 Ardiansyah, Marza
FORMAT SOLID STATE DRIVE Ihsan Marzuki
MENGGUNAKAN METODE DIGITAL
FORENSICS RESEARCH WORKSHOP
4 INVESTIGASI FORENSIK TERHADAP BUKTI November 2020 Moh. Riskiyadi
DIGITAL DALAM MENGUNGKAP
CYBERCRIME
5 Experimental Investigation of Frozen Solid DECEMBER 2018 Imam Riadia, Rusydi
State Drive on Digital Evidence with Static Umarb, Imam
Forensic Methods Mahfudl Nasrullohc