Home » Forensik Digital » 5 Tools Forensik Digital Gratis Terbaik — dari Autopsy sampa...
Forensik Digital

5 Tools Forensik Digital Gratis Terbaik — dari Autopsy sampai Volatility

Lima tools forensik digital bercahaya melayang di atas server, ikon kaca pembesar, hard drive, RAM, network, dan shield

5 Tools Forensik Digital Gratis Terbaik — dari Autopsy sampai Volatility

Waktu saya pertama kali masuk ke dunia forensik digital, saya masih jadi mahasiswa magang di satu lembaga pemerintah. Budget? Nyaris nggak ada. Sementara tools komersial kaya EnCase atau FTK harganya selangit — puluhan ribu dolar per lisensi per tahun. Saya inget banget mentor saya waktu itu bilang, “Kamu nggak butuh tools mahal untuk jadi investigator yang baik. Yang penting metodologinya bener.” Dan dia benar. Setelah 8 tahun lebih berkecimpung di dunia ini, saya masih pakai tools forensik digital gratis yang open source buat sebagian besar kasus yang saya tangani. Hasilnya? Setara dengan tools enterprise — asal kamu tahu cara makenya dengan benar.

Nah, di artikel ini saya mau sharing 5 tools forensik digital gratis yang jadi andalan saya sehari-hari. Untuk masing-masing tools, saya bakal jelasin kegunaannya, cara install yang gampang, contoh pemakaian dasar, kelebihan dan kekurangannya, plus tips-tips dari pengalaman pribadi. Ini bukan review textbook — ini based on real cases yang udah saya handle.

1. Autopsy — The Sleuth Kit dengan Wajah Ramah

Autopsy adalah graphical front-end untuk The Sleuth Kit (TSK), sebuah library dan kumpulan command-line tools untuk analisis disk forensik. Kalau TSK itu kaya mesin mobil tanpa body, Autopsy adalah mobil utuh yang nyaman dikendarain. Buat pemula yang nggak terbiasa dengan command line, Autopsy adalah penyelamat.

Apa yang Bisa Dilakukan Autopsy?

Banyak banget. Ini daftar fitur utamanya:

  • Membaca dan menganalisis file system dari forensic image (DD, E01, AFF, dan format lainnya)
  • Membaca file system dari disk fisik langsung (dengan write blocker tentunya)
  • Mengekstrak file yang masih ada maupun yang udah dihapus
  • File carving berdasarkan file signature (bukan cuma dari filesystem index)
  • Analisis registry Windows (parsing SAM, SYSTEM, SOFTWARE hives)
  • Ekstrak web history, download, bookmark, dan cookies dari browser
  • Ekstrak email, chat, dan komunikasi digital lainnya
  • Bikin timeline aktivitas berdasarkan file system timestamps
  • Generate laporan hasil analisis dalam format HTML atau PDF

Cara Install Autopsy

Di Linux (Ubuntu/Debian-based):

sudo apt update
sudo apt install autopsy

Tapi saya pribadi lebih suka download dari website resminya (sleuthkit.org) versi terbaru, karena versi yang ada di repository kadang udah outdated. Untuk Windows, tinggal download installer-nya dari website resmi. Untuk macOS, bisa pakai Homebrew: brew install --cask autopsy.

Contoh Penggunaan — Analisis USB Flashdisk

Cerita penggunaan pertama: klien minta saya periksa flashdisk milik karyawan yang dicurigai nyuri data. Saya buat forensic image pake FTK Imager dulu, terus buka image-nya di Autopsy. Steps-nya:

  1. Bikin case baru di Autopsy — isi nama kasus, investigator, dan deskripsi
  2. Tambahin data source — pilih forensic image yang tadi dibuat
  3. Autopsy bakal otomatis ingest: parse filesystem, cek file type, ekstrak metadata, hitung hash
  4. Setelah ingest selesai, saya browsing file tree untuk cari file-file yang relevan
  5. Pake fitur keyword search (Ctrl+F) buat nyari kata kunci spesifik — misalnya nama project rahasia atau nomor rekening
  6. File yang udah dihapus muncul di folder “Deleted Files” dengan tanda silang merah
  7. Semua temuan bisa di-tag dan dimasukin ke report

Yang paling saya suka dari Autopsy: fitur timeline-nya. Dia bisa nampilin semua aktivitas file (create, modify, access) dalam bentuk grafik waktu. Jadi kamu bisa lihat dengan jelas: jam 14:00 file A dibuat, jam 14:05 file B dibuka, jam 14:30 file A dihapus. Pattern kayak gini sering banget jadi kunci buat rekonstruksi kronologi kejadian.

Tips dari Pengalaman

Pertama: ingest module di Autopsy itu banyak. Jangan di-enable semua sekaligus, terutama kalau image-nya gede. Bakal lambat banget. Pilih aja yang relevan sama kasus kamu. Kedua: Autopsy nyimpen database case di folder tertentu — pastiin path-nya ada di drive yang cukup space. Ketiga: Autopsy kadang crash kalau image-nya corrupt. Jadi pastiin image forensik kamu bener sebelum mulai analisis.

2. Volatility — Raja Memory Forensics yang Nggak Tergantikan

Volatility adalah framework open source untuk analisis memory dump. Saya berani bilang ini tools paling critical di arsenal saya. Kenapa? Karena banyak banget bukti digital yang cuma eksis di RAM dan nggak pernah ditulis ke disk. Fileless malware, encryption keys, network connections, running processes, injected code — semuanya ada di RAM, dan Volatility adalah kunci untuk mengaksesnya.

Apa yang Bisa Dilakukan Volatility?

Volatility punya puluhan plugin (sekarang versi 3, plugin-nya bahkan lebih banyak):

  • windows.info / linux.info — info dasar tentang memory dump (OS version, kernel version, architecture)
  • windows.pslist / linux.pslist — daftar proses yang berjalan saat memory di-capture
  • windows.psscan — cari proses termasuk yang disembunyiin (unlinked processes)
  • windows.netscan — network connections yang aktif (TCP/UDP, listening sockets, established)
  • windows.cmdline — command line argument dari setiap proses
  • windows.malfind — deteksi injected code dan hidden DLL
  • windows.filescan — cari file objects di memory (termasuk yang udah dihapus dari disk)
  • windows.dlllist — daftar DLL yang di-load oleh setiap proses
  • windows.registry.printkey — baca registry dari memory
  • windows.hashdump — dump password hashes dari SAM

Cara Install Volatility

Volatility 2 (Python 2, legacy tapi masih banyak plugin bagus):

git clone https://github.com/volatilityfoundation/volatility.git
cd volatility
python2 setup.py install

Volatility 3 (Python 3, versi terbaru yang direkomendasikan):

git clone https://github.com/volatilityfoundation/volatility3.git
cd volatility3
pip install -r requirements.txt

Jalankan dengan:

# Volatility 2
python2 vol.py -f memory.dmp --profile=Win10x64 pslist

# Volatility 3
python3 vol.py -f memory.dmp windows.pslist

Contoh Penggunaan — Menemukan Malware Tanpa File

Beberapa tahun lalu saya investigasi server Windows yang aneh — EDR nggak nemu apa-apa, antivirus nggak nemu apa-apa, tapi server ngirim data ke IP aneh di luar negeri. Begitu saya capture memory dump dan analisis pake Volatility, langsung ketahuan: ada proses PowerShell yang running entirely in memory — nggak ada executable file di disk sama sekali. Ini classic fileless malware.

Steps analisisnya:

  1. windows.pslist — nemu proses PowerShell yang mencurigakan (PID 4567)
  2. windows.cmdline --pid 4567 — lihat command line PowerShell-nya: ternyata isinya encoded base64 command
  3. Decode base64-nya — nemu script PowerShell yang establish reverse connection ke IP tertentu
  4. windows.netscan — konfirmasi: ada koneksi ESTABLISHED dari PID 4567 ke IP yang sama
  5. windows.malfind --pid 4567 — nemu injected code di memory space PowerShell, konfirmasi code injection

Dari sini saya bisa rekonstruksi serangan: attacker masuk lewat phishing email, korban buka attachment, macro di Word nge-spawn PowerShell, PowerShell download dan eksekusi payload entirely in memory, terus establish persistence via WMI. Semua tanpa ninggalin malware di disk. Tanpa Volatility, investigasi ini bakal mentok.

Tips dari Pengalaman

Pertama: memory dump dari sistem yang berbeda butuh profile yang beda. Selalu run imageinfo (Vol2) atau windows.info (Vol3) dulu. Kedua: memory dump bisa gede banget (16GB, 32GB, bahkan 64GB). Pastiin laptop investigasi kamu punya RAM yang cukup. Ketiga: beberapa plugin Volatility lambat banget jalan-nya (terutama malfind di dump gede). Sabar. Nungguin adalah bagian dari kerjaan forensik.

3. Wireshark — Mikroskop untuk Traffic Jaringan

Wireshark adalah network protocol analyzer — tools buat capture dan analisis traffic jaringan. Kalau di disk forensics kamu lihat file dan artifact, di network forensics kamu lihat paket data. Dan Wireshark adalah tools paling mature dan paling komprehensif untuk ini.

Apa yang Bisa Dilakukan Wireshark?

  • Capture traffic secara real-time dari network interface
  • Baca file packet capture (PCAP, PCAPNG) dari berbagai sumber
  • Filter paket dengan display filter yang sangat powerful (bisa filter by IP, port, protocol, payload content, dll)
  • Follow TCP stream — rekonstruksi percakapan TCP secara utuh (termasuk HTTP request/response)
  • Analisis protokol secara mendalam — Wireshark ngerti ratusan protokol dan bisa parse field-nya satu per satu
  • Statistik dan grafik — conversation, protocol hierarchy, IO graph, expert info
  • Ekstrak file yang ditransfer lewat jaringan (HTTP objects, FTP data, SMB files)
  • Decrypt TLS/SSL kalau kamu punya private key atau session key

Cara Install Wireshark

Linux:

sudo apt install wireshark
sudo usermod -a -G wireshark $USER  # biar bisa capture tanpa sudo

Windows dan macOS: download installer dari wireshark.org. Di Windows, Wireshark akan install Npcap (library buat packet capture) secara otomatis.

Contoh Penggunaan — Deteksi Data Exfiltration

Kasus nyata: klien curiga ada data engineering mereka yang bocor. Dari log network, saya lihat ada spike traffic keluar yang mencurigakan ke IP di negara yang nggak ada hubungan bisnis. Saya capture traffic-nya, terus buka di Wireshark.

Filter yang saya pakai:

ip.dst == 203.xxx.xxx.xxx  # filter berdasarkan IP tujuan

Terus saya follow TCP stream (klik kanan > Follow > TCP Stream) dan nemu HTTP POST request yang isinya… data SQL dump! Ratusan megabyte data customer dikirim ke server eksternal lewat HTTP POST sederhana. No encryption, no stealth. Attacker-nya cukup pede (atau ceroboh).

Dari sini saya bisa:

  • Konfirmasi bahwa data exfiltration memang terjadi
  • Identifikasi data apa yang dikirim (dari isi payload HTTP)
  • Identifikasi server tujuan exfiltration
  • Hitung berapa banyak data yang berhasil dikirim

Tips dari Pengalaman

Pertama: Wireshark bisa sangat overwhelming buat pemula. Ribuan paket per detik, warna-warni, informasi yang numpuk. Kuncinya: display filter. Kuasai filter syntax-nya (ip.addr, tcp.port, http.request, dns.qry.name, dll). Kedua: kalau kamu capture traffic di server yang sibuk, file PCAP bisa jadi gede banget dalam hitungan menit. Pakai capture filter (bukan display filter) untuk membatasi paket yang di-capture sejak awal. Ketiga: jangan lupa untuk selalu capture dalam format PCAPNG (default Wireshark) — format ini mendukung metadata tambahan yang berguna untuk forensik.

4. FTK Imager — Si Pencitra yang Gesit

FTK Imager adalah tools gratis dari AccessData (sekarang Exterro) untuk forensic imaging. Meskipun produk komersial mereka (Forensic Toolkit / FTK) berbayar mahal, FTK Imager-nya gratis dan sudah jadi tools standard di industri buat bikin forensic image.

Apa yang Bisa Dilakukan FTK Imager?

  • Bikin forensic image dari hard disk, USB, atau media storage lainnya
  • Support berbagai format image: E01 (EnCase), DD (raw), AFF, SMART
  • Bisa imaging logical partition atau physical drive
  • Preview isi image secara read-only (tanpa perlu mount)
  • Mount image forensik sebagai read-only drive letter di Windows
  • Export file individual dari image
  • Bikin hash (MD5 dan SHA-1) selama proses imaging
  • Capture memory dump (Windows only)

Cara Install FTK Imager

Download dari website AccessData/Exterro (perlu registrasi gratis). Tersedia untuk Windows. Untuk Linux, biasanya saya pakai Guymager (GUI) atau dd/dcfldd (command line) sebagai alternatif.

Contoh Penggunaan — Imaging Laptop Karyawan

Ini workflow standar saya setiap kali harus imaging laptop atau PC:

  1. Matikan laptop target (kalau perlu capture memory, ambil RAM dump dulu sebelum shutdown)
  2. Lepaskan hard disk dari laptop target
  3. Colokin hard disk ke laptop investigasi lewat write blocker
  4. Buka FTK Imager, pilih File > Create Disk Image
  5. Pilih source “Physical Drive” dan pilih disk target (tampil dengan informasi model, serial number, size)
  6. Pilih destination — tentukan format image (saya biasanya E01 karena support kompresi dan metadata)
  7. Isi metadata: case number, evidence number, examiner name, notes
  8. Pilih folder tujuan untuk nyimpen image
  9. Centang “Verify images after they are created” — ini penting untuk memastikan hash match
  10. Klik Start. Tunggu. Untuk disk 500GB, proses ini bisa 2-4 jam tergantung speed.

Setelah selesai, FTK Imager ngasih laporan: hash source dan hash image match atau nggak. Print laporannya untuk dokumentasi chain of custody.

Tips dari Pengalaman

Pertama: selalu pakai write blocker. Nggak ada tawar-menawar. Kedua: kalau imaging lewat network (misalnya ke NAS), proses bisa jauh lebih lambat. Simpen image di lokal dulu, baru pindahin nanti. Ketiga: format E01 bisa di-split jadi file-file kecil (misalnya 2GB per segment) — ini berguna kalau storage tujuan kamu FAT32 yang nggak support file >4GB.

5. Eric Zimmerman Tools — Arsenal Windows Forensics yang Lengkap

Eric Zimmerman adalah mantan FBI digital forensics examiner yang sekarang bikin tools forensik Windows yang sangat powerfull. Semua tools-nya gratis, open source, dan dibuat dengan kualitas production-grade. Saya pribadi menyebut toolset ini sebagai “senjata rahasia” buat Windows forensics.

Koleksi Tools-nya:

  • Registry Explorer — GUI tool buat eksplorasi dan analisis Windows Registry. Jauh lebih enak dipakai dibanding regedit bawaan Windows.
  • AppCompatCacheParser — parse ShimCache (Application Compatibility Cache) yang nyimpen info program yang pernah dieksekusi di Windows.
  • AmcacheParser — parse Amcache.hve yang nyimpen info aplikasi yang pernah diinstall dan dijalankan.
  • MFTECmd — parse Master File Table (MFT) dari NTFS, keluarin CSV yang isinya setiap file dengan timestamp-nya.
  • EvtxECmd — parse Windows Event Logs (.evtx) ke format CSV, lengkap dengan field mapping.
  • PECmd — parse Prefetch files (.pf) yang nyimpen info tentang program yang dijalankan (termasuk jumlah eksekusi dan timestamp).
  • LECmd — parse LNK files (shortcut) yang sering nyimpen metadata penting tentang file target.
  • SBECmd — parse Shellbags (informasi tentang folder yang pernah dibuka di Windows Explorer).
  • JLECmd — parse Jump Lists yang nyimpen info file yang sering dibuka lewat taskbar.
  • Timeline Explorer — GUI tool buat analisis dan korelasi timeline dari berbagai sumber.

Cara Install Eric Zimmerman Tools

Semua tools bisa didownload dari GitHub: github.com/EricZimmerman. Formatnya executable Windows, nggak perlu install (portable). Beberapa tools butuh .NET runtime yang bisa didownload terpisah.

Contoh Penggunaan — Bikin Timeline Aktivitas User

Ini salah satu workflow favorit saya. Misalnya saya punya disk image dari laptop Windows tersangka, dan saya perlu bikin timeline aktivitas user — aplikasi apa yang dijalankan, file apa yang diakses, kapan semuanya terjadi.

Steps:

  1. Ekstrak registry hives (SAM, SYSTEM, SOFTWARE, NTUSER.DAT) dari image
  2. Ekstrak MFT: MFTECmd.exe -f "path-to-MFT" --csv "output-folder"
  3. Ekstrak Event Logs: EvtxECmd.exe -f "path-to-evtx-files" --csv "output-folder"
  4. Ekstrak Prefetch: PECmd.exe -f "path-to-prefetch-folder" --csv "output-folder"
  5. Ekstrak LNK files: LECmd.exe -f "path-to-lnk-files" --csv "output-folder"
  6. Parse ShimCache: AppCompatCacheParser.exe -f "path-to-registry" --csv "output-folder"

Setelah semua CSV files jadi, buka di Timeline Explorer. Filter, sort, dan analisis. Hasilnya kamu bisa lihat: jam 08:30 user login, jam 08:35 buka Outlook, jam 08:45 buka file Excel dari USB drive, jam 09:15 copy file ke folder pribadi, jam 09:30 eject USB, jam 09:35 shutdown.

Ini bukan fiksi — ini hasil nyata yang bisa kamu dapetin dari kombinasi tools Eric Zimmerman. Dan semuanya gratis.

Tips dari Pengalaman

Pertama: tools ini Windows-only. Kalau kamu investigator yang sehari-hari pakai Linux atau Mac, siapin Windows VM khusus buat ini. Kedua: baca dokumentasi dengan teliti. Setiap tool punya puluhan parameter command line, dan beberapa di antaranya krusial (kayak --dt untuk format tanggal). Ketiga: semua output tools ini dalam CSV — belajar pivot table di Excel atau pakai Timeline Explorer biar bisa analisis data dengan efisien.

Perbandingan — Mana yang Cocok Buat Kamu?

Biar lebih jelas, saya rangkumin:

  • Butuh analisis hard disk / USB / media storage? → Autopsy (atau Autopsy + TSK command line untuk power user).
  • Curiga ada malware yang nggak ketemu di disk? → Volatility. Capture RAM-nya, analisis. Wajib hukumnya.
  • Investigasi insiden yang melibatkan jaringan? → Wireshark. Capture traffic, cari anomali, rekonstruksi percakapan.
  • Mau bikin forensic image dari disk bukti? → FTK Imager (Windows) atau Guymager/dd (Linux).
  • Investigasi di lingkungan Windows? → Eric Zimmerman tools. MFT, registry, event logs, prefetch, LNK — semuanya keparse dengan rapi.

Penutup — Tools Gratis, Hasil Profesional

Setelah bertahun-tahun berkecimpung di dunia forensik digital, saya makin yakin bahwa tools forensik digital gratis yang open source itu bukan sekadar alternatif murah — tapi banyak di antaranya yang memang tools terbaik di kelasnya, bahkan dibandingkan dengan produk komersial sekalipun. Yang membedakan investigator hebat itu bukan lisensi tools yang dimiliki, tapi metodologi yang dipakai, ketelitian dalam analisis, dan kemampuan untuk menginterpretasikan temuan dengan benar.

Kelima tools yang saya bahas di artikel ini — Autopsy, Volatility, Wireshark, FTK Imager, dan Eric Zimmerman tools — adalah fondasi yang solid buat memulai perjalanan kamu di forensik digital. Install semuanya. Pelajari satu per satu. Bikin lab virtual. Praktek dengan kasus buatan sendiri. Karena seperti kata mentor saya dulu: “Kamu nggak butuh tools mahal untuk jadi investigator yang baik.” Dan setelah 8 tahun, saya tahu persis bahwa itu benar.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts