Dalam dunia forensik digital, menemukan bukti yang tepat sangat penting untuk mengungkap kejahatan siber. Namun, bukti digital bisa berasal dari berbagai sumber, dan dua di antaranya yang paling umum adalah forensic disk dan forensic memory. Meski terdengar mirip, keduanya punya perbedaan besar. Artikel ini akan membahas dengan bahasa sederhana agar kamu bisa memahami kapan dan bagaimana keduanya digunakan dalam investigasi digital.
Apa Itu Forensic Disk?
Forensic disk adalah proses memeriksa data yang tersimpan di media penyimpanan seperti harddisk, SSD, atau flashdisk. Data yang dianalisis bersifat statis, artinya tetap ada meskipun komputer dimatikan.
Contohnya:
- File dokumen
- Log aktivitas
- Metadata file (seperti kapan file dibuat)
- Isi Recycle Bin atau file yang dihapus
Tools yang sering digunakan antara lain:
- FTK Imager
- Autopsy
- EnCase
Tujuan utama forensic disk adalah mencari bukti dari aktivitas yang pernah terjadi di sistem.
Apa Itu Forensic Memory?
Berbeda dengan forensic disk, forensic memory fokus pada data yang ada di RAM (Random Access Memory). RAM menyimpan data sementara yang digunakan sistem saat komputer menyala. Begitu komputer dimatikan, data ini bisa hilang.
Contohnya:
- Username dan password yang belum sempat disimpan
- Proses program yang sedang berjalan
- File sementara atau malware yang berjalan di background
Tools yang sering digunakan:
- Volatility
- Rekall
- DumpIt (untuk mengambil isi RAM)
Forensic memory sangat berguna untuk menganalisis serangan siber yang sedang berlangsung atau malware canggih yang tidak meninggalkan jejak di harddisk.
Perbandingan Forensic Disk vs Forensic Memory
| Aspek | Forensic Disk | Forensic Memory |
|---|---|---|
| Jenis Data | Tetap/statis | Sementara/volatile |
| Contoh | File, log, metadata | Password, proses, cache |
| Waktu Akuisisi | Bisa kapan saja | Saat komputer hidup |
| Ketahanan Data | Bisa disimpan lama | Mudah hilang |
| Kelebihan | Bukti lengkap, cocok untuk analisis mendalam | Bisa ungkap aktivitas tersembunyi |
| Kekurangan | Data besar, bisa dienkripsi | Rentan hilang, harus cepat diambil |
Kapan Menggunakan Forensic Disk atau Memory?
Contoh penggunaan forensic disk:
- Mencari file rahasia yang dicuri
- Menemukan aktivitas pengguna dari log
- Melacak file yang sudah dihapus
Contoh penggunaan forensic memory:
- Menangkap malware yang hanya aktif di RAM
- Melihat proses mencurigakan yang sedang berjalan
- Mengambil password atau session token dari RAM
Dalam banyak kasus, investigator profesional akan menggabungkan kedua metode untuk hasil yang lebih lengkap.
Tantangan yang Dihadapi
Forensic Disk:
- Ukuran data bisa sangat besar
- Data bisa tersembunyi atau terenkripsi
- Butuh waktu lama untuk menganalisis
Forensic Memory:
- Data hilang jika tidak segera diambil
- Harus dilakukan saat komputer menyala
- Teknik pengambilan harus hati-hati agar tidak merusak data
Selain itu, pengambilan data harus tetap mematuhi hukum dan etika. Investigator tidak boleh mengambil data sembarangan tanpa izin atau prosedur resmi.
Kesimpulan
Forensic disk dan forensic memory bukan saingan, melainkan saling melengkapi. Forensic disk cocok untuk melihat apa yang sudah terjadi, sementara forensic memory membantu melihat apa yang sedang terjadi.
Memahami keduanya sangat penting bagi siapa pun yang ingin mendalami dunia investigasi digital. Jadi, jika kamu ingin jadi ahli forensik digital, pastikan kamu tahu kapan harus “menggali data dari disk”, dan kapan harus “menyelam ke dalam RAM”.
