π Daftar Isi
1. Pengenalan Digital Forensics
Digital Forensics (Forensik Digital) adalah cabang ilmu forensik yang berfokus pada identifikasi, akuisisi, analisis, dan penyajian bukti digital (digital evidence) yang tersimpan di perangkat elektronik. Tujuannya adalah menemukan fakta yang dapat digunakan dalam proses hukum, investigasi insiden keamanan, atau audit keamanan.
Dalam konteks investigasi keamanan siber, forensik digital memainkan peran krusial dalam memahami bagaimana serangan terjadi, siapa pelakunya, apa dampaknya, dan bagaimana mencegah serangan serupa di masa depan. Disk imaging adalah salah satu langkah paling kritis dalam proses ini β pembuatan salinan identik dari storage media untuk analisis tanpa mengubah bukti asli.
Cabang Digital Forensics
| Cabang | Fokus | Contoh Kasus |
|---|---|---|
| Disk Forensics | Analisis storage media (HDD, SSD, USB) | Recovery file yang dihapus, analisis malware |
| Network Forensics | Analisis traffic jaringan | Packet analysis, intrusion detection |
| Memory Forensics | Analisis RAM / volatile memory | Running processes, encryption keys, malware in memory |
| Mobile Forensics | Analisis perangkat mobile | SMS recovery, app data, GPS logs |
| Cloud Forensics | Analisis data di cloud | Account compromise, data exfiltration |
| Database Forensics | Analisis database | Unauthorized data access, injection artifacts |
Proses Forensik Digital (RFC 3227 + NIST SP 800-86)
Diagram: Digital Forensics Process
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β DIGITAL FORENSICS PROCESS β β β β ββββββββββββββββ β β β 1. IDENTIFY β Identifikasi sumber bukti digital β β β β (disk, RAM, network, logs, cloud) β β ββββββββ¬ββββββββ β β βΌ β β ββββββββββββββββ β β β 2. PRESERVE β Amankan bukti β jangan ubah data β β β β Write blocker, hashing, dokumentasi β β ββββββββ¬ββββββββ β β βΌ β β ββββββββββββββββ β β β 3. COLLECT β Akuisisi β buat forensic image β β β (ACQUIRE) β (disk imaging) dengan tools forensik β β ββββββββ¬ββββββββ β β βΌ β β ββββββββββββββββ β β β 4. ANALYZE β Analisis bukti β cari artifacts β β β β File recovery, timeline, malware β β ββββββββ¬ββββββββ β β βΌ β β ββββββββββββββββ β β β 5. REPORT β Dokumentasikan temuan dalam laporan β β β β forensik yang dapat dipertanggung- β β β β jawabkan secara hukum β β ββββββββ¬ββββββββ β β βΌ β β ββββββββββββββββ β β β 6. PRESENT β Sajikan temuan di pengadilan atau β β β β di hadapan manajemen β β ββββββββββββββββ β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Prinsip Utama Forensik Digital
β οΈ Prinsip Utama yang TIDAK BOLEH Dilanggar
- Jangan mengubah bukti asli β Selalu bekerja pada salinan (image), bukan media asli
- Dokumentasikan SEMUA yang Anda lakukan β Setiap langkah harus tercatat dengan detail
- Verifikasi integritas β Gunakan hash (MD5, SHA-256) untuk membuktikan salinan identik dengan asli
- Jaga chain of custody β Catat siapa yang memegang bukti, kapan, dan apa yang dilakukan
- Bekerja dengan kompeten β Investigator harus memiliki keahlian dan sertifikasi yang memadai
2. Disk Imaging: Konsep dan Proses
Disk imaging (atau forensic imaging) adalah proses pembuatan salinan bit-by-bit yang identik dari storage media (hard disk, SSD, USB drive, dll). Berbeda dengan file copy biasa, disk imaging menyalin SEMUA data termasuk:
- Data aktif (files yang bisa dilihat user)
- Data tersembunyi (hidden files, hidden partitions)
- Slack space (ruang kosong antara end of file dan end of cluster)
- Unallocated space (ruang yang "tidak digunakan" β berisi data yang dihapus)
- Deleted files yang belum di-overwrite
- Boot sector, partition table, file system metadata
- Bad sectors (dicatat dalam log)
Proses Disk Imaging
Diagram: Proses Disk Imaging
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β DISK IMAGING PROCESS β β β β ββββββββββββ ββββββββββββββββ ββββββββββββββ β β β Evidence β β Write Blockerβ β Forensic β β β β Drive βββββΆβ (Hardware/ βββββΆβ Workstationβ β β β (HDD/SSD)β β Software) β β β β β ββββββββββββ ββββββββββββββββ βββββββ¬βββββββ β β β β β β οΈ JANGAN PERNAH hubungkan evidence β β β drive langsung ke komputer tanpa β β β write blocker! β β β βΌ β β ββββββββββββββββββββββββββββββββββββββββββββββββββ β β β Imaging Process β β β β β β β β Evidence Drive β Bit-by-bit Copy β Image β β β β (/dev/sda) (sequential) File β β β β β β β β β + Hitung hash source (SHA-256) β β β β β + Hitung hash destination (SHA-256) β β β β β + Verifikasi: hash source == hash dest β β β β β ββββββββββββββββββββββββββββββββββββββββββββββββββ β β β β ββββββββββββββββββββββββββββββββββββββββββββββββββ β β β Output Formats β β β β β β β β β’ Raw (dd) β .img/.dd/.raw β β β β β’ EnCase β .E01/.Ex01 β β β β β’ AFF β .aff (Advanced FF Format) β β β β β’ SMART β .s01 β β β β β’ FTK β .ad1 β β β ββββββββββββββββββββββββββββββββββββββββββββββββββ β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Write Blocker: Komponen Kritis
Write blocker adalah perangkat keras atau perangkat lunak yang mencegah penulisan data ke evidence drive. Ini sangat penting karena bahkan sekadar menghubungkan drive ke komputer bisa mengubah data (Windows AutoRun, OS mounting, file system journal update, dll).
| Tipe | Contoh | Kelebihan | Kekurangan |
|---|---|---|---|
| Hardware Write Blocker | Tableau T356789iu, WiebeTech, CRU Forensic Bridge | Paling aman, tidak tergantung OS | Mahal ($200-$2000) |
| Software Write Blocker | Linux kernel parameter (ro), SAFE Block, MacQuisition | Gratis, fleksibel | Perlu konfigurasi, kurang terpercaya di pengadilan |
| BIOS/UEFI Write Block | Setting BIOS untuk disable write | Tanpa tool tambahan | Tidak semua BIOS mendukung |
3. Tools Disk Imaging
3.1 dd (Data Duplicator)
dd adalah tool command-line bawaan Unix/Linux yang bisa digunakan untuk disk imaging. Meskipun sederhana, dd sangat powerful dan banyak digunakan oleh forensic examiner.
Contoh: Disk Imaging dengan dd
# ============================================ # Basic dd imaging # ============================================ # Pastikan evidence drive terdeteksi (READ-ONLY) sudo fdisk -l # Output: /dev/sdb = evidence drive (500GB) # Mount drive sebagai READ-ONLY sudo blockdev --setro /dev/sdb # Buat forensic image (bit-by-bit copy) sudo dd if=/dev/sdb of=/mnt/evidence/case001_image.dd bs=4096 conv=noerror,sync status=progress # Penjelasan parameter: # if=/dev/sdb β input file (evidence drive) # of=/mnt/evidence/... β output file (forensic image) # bs=4096 β block size (4KB, optimal untuk HDD) # conv=noerror β lanjutkan meski ada error (bad sectors) # conv=sync β isi bad blocks dengan null bytes # status=progress β tampilkan progress # ============================================ # Hitung hash untuk verifikasi integritas # ============================================ # Hash evidence drive (source) sudo sha256sum /dev/sdb # Output: a1b2c3d4e5... /dev/sdb # Hash forensic image (destination) sha256sum /mnt/evidence/case001_image.dd # Output: a1b2c3d4e5... /mnt/evidence/case001_image.dd # β Jika hash SAMA β image adalah salinan IDENTIK # β Jika hash BERBEDA β ada masalah, ulangi imaging # ============================================ # dd dengan compression # ============================================ # Compress image untuk menghemat storage sudo dd if=/dev/sdb bs=4096 conv=noerror,sync status=progress | \ gzip -c > /mnt/evidence/case001_image.dd.gz # Untuk menggunakannya: gunzip -c /mnt/evidence/case001_image.dd.gz | \ sha256sum # Verify hash # ============================================ # ddrescue β dd yang lebih robust untuk bad sectors # ============================================ # Install sudo apt install gddrescue # ddrescue: Mencoba membaca bad sectors berulang kali sudo ddrescue -d -r3 /dev/sdb /mnt/evidence/case001_image.dd \ /mnt/evidence/case001_mapfile.log # Penjelasan: # -d β direct disk access (bypass OS cache) # -r3 β retry bad sectors 3 kali # mapfile.log β log untuk resume jika proses terputus # ddrescue sangat direkomendasikan untuk drive yang bermasalah!
3.2 FTK Imager (AccessData/Exterro)
FTK Imager adalah tool forensik gratis dari Exterro (sebelumnya AccessData) yang paling banyak digunakan oleh forensic examiner. Tersedia untuk Windows dan command-line (Linux).
Contoh: FTK Imager CLI (Linux)
# ============================================ # FTK Imager CLI (Linux) # ============================================ # Download FTK Imager CLI wget https://www.exterro.com/ftk-imager chmod +x ftkimager # Basic imaging sudo ./ftkimager /dev/sdb /mnt/evidence/case001_image \ --format ewf \ --compress 6 \ --case-number "CASE-2026-001" \ --description "Server X - Incident Response" \ --examiner "John Doe" \ --notes "Acquired 2026-06-26, source 500GB HDD" # Parameter: # /dev/sdb β evidence drive # /mnt/evidence/case001_image β output base name # --format ewf β EnCase format (.E01) # --compress 6 β compression level (0-9) # --case-number, --description, dll β metadata # FTK Imager otomatis: # β Menghitung MD5 dan SHA-1 hash # β Membuat log proses imaging # β Memverifikasi image setelah selesai # β Menyimpan metadata case # ============================================ # Format output yang didukung FTK Imager # ============================================ # 1. E01 (EnCase Evidence File) β paling umum di industry # - Supports compression # - Bisa menyimpan metadata case # - Error correction built-in # - Format .E01, .E02, .E03 (jika di-split) # 2. Raw (dd) β format paling sederhana # - Tidak ada compression # - Tidak ada built-in metadata # - Kompatibel dengan semua tools # 3. AFF (Advanced Forensic Format) β open source # - Supports compression dan metadata # - Format terbuka (tidak proprietary) # - Kompatibel dengan banyak tools
3.3 Guymager
Guymager adalah tool disk imaging open source untuk Linux yang memiliki GUI dan sangat cepat karena menggunakan multi-threading.
Contoh: Guymager
# ============================================ # Guymager β Forensic Imaging Tool (Linux GUI) # ============================================ # Install sudo apt install guymager # Jalankan sebagai root (diperlukan untuk akses device) sudo guymager # Fitur utama: # β GUI-based β mudah digunakan # β Multi-threading β sangat cepat # β Supports: dd, E01, AFF format # β Built-in verification (MD5, SHA-1, SHA-256) # β Metadata embedding (case number, examiner, notes) # β Can acquire multiple drives simultaneously # β Free and open source (GPL) # Langkah-langkah: # 1. Buka Guymager (sudo guymager) # 2. Klik kanan pada evidence drive # 3. Pilih "Acquire image" # 4. Pilih format (E01, dd, AFF) # 5. Masukkan metadata case # 6. Pilih lokasi output # 7. Klik "Start" β imaging dimulai # 8. Verifikasi otomatis setelah selesai # ============================================ # Perbandingan Tools Imaging # ============================================ # Tool | GUI | Speed | Format | Gratis | Platform # ------------|-----|---------|------------|--------|---------- # dd | β | Lambat | Raw | β | Linux/Mac # ddrescue | β | Sedang | Raw | β | Linux # FTK Imager | β | Cepat | E01,Raw | β | Win/Linux # Guymager | β | Sangat | E01,Raw,AFF| β | Linux # EnCase | β | Cepat | E01 | β | Windows # X-Ways | β | Cepat | Raw,E01 | β | Windows # Axiom | β | Cepat | E01,Raw | β | Windows
4. Chain of Custody
Chain of custody (rantai bukti) adalah dokumentasi formal yang mencatat setiap perpindahan, penyimpanan, dan penanganan bukti digital sejak saat pengumpulan hingga penyajian di pengadilan. Chain of custody yang buruk bisa membuat bukti tidak dapat diterima di pengadilan.
Form Chain of Custody
Template: Chain of Custody Form
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β CHAIN OF CUSTODY β DIGITAL EVIDENCE β β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ£ β β β Case Number : CASE-2026-001 β β Case Name : Server Compromise Investigation β β Investigator : John Doe, CISSP, EnCE β β Date Created : 2026-06-26 β β β β ββ EVIDENCE DESCRIPTION ββββββββββββββββββββββββββ β β Evidence ID : EVD-001 β β Description : 500GB WD Blue HDD, Serial: WD-12345 β β Source Device : Server SRV-WEB-01 β β Location Found : Data Center Room 3, Rack 12, U7 β β Date Collected : 2026-06-26, 14:30 WIB β β Collected By : John Doe β β β β ββ EVIDENCE INTEGRITY ββββββββββββββββββββββββββββ β β SHA-256 Hash : a1b2c3d4e5f6... β β MD5 Hash : 1a2b3c4d5e6f... β β Verified By : John Doe β β Verified Date : 2026-06-26, 15:00 WIB β β β β ββ CUSTODY LOG ββββββββββββββββββββββββββββββββββββ β β β β # β Date/Time β From β To β Purpose β β βββΌβββββββββββββββββββΌββββββββββββΌβββββββββββββΌββββββββββ β 1 β 2026-06-26 14:30 β DC Room 3 β John Doe β Collect β β 2 β 2026-06-26 15:30 β John Doe β Evidence β Storage β β 3 β 2026-06-27 09:00 β Evidence β Jane Smith β Analysisβ β 4 β 2026-06-28 17:00 β Jane Smithβ Evidence β Return β β β β ββ STORAGE CONDITIONS βββββββββββββββββββββββββββββ β β Location : Evidence Locker #3, Secure Room B β β Temperature : 20-22Β°C β β Access Control : Biometric + PIN β β β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
Prosedur Penanganan Bukti
π‘ Best Practices Chain of Custody
- β Fotografi bukti dari berbagai sudut sebelum diambil
- β Gunakan evidence bag yang disegel (tamper-evident)
- β Label setiap bukti dengan Evidence ID yang unik
- β Hitung dan catat hash SHA-256 segera setelah imaging
- β Simpan bukti asli di evidence locker yang aman
- β Catat setiap perpindahan bukti (siapa, kapan, mengapa)
- β Minimalisir penanganan bukti asli β selalu bekerja pada salinan
- β Verifikasi hash setiap kali bukti dipindahkan
- β Simpan bukti di lingkungan yang terkontrol (suhu, kelembaban)
- β Dua orang saksi setiap kali bukti diakses
5. Analisis Bukti Digital
Setelah forensic image dibuat dan diverifikasi, langkah selanjutnya adalah analisis. Berbagai tools dan teknik digunakan untuk mengekstrak artifacts yang relevan dari image.
Tools Analisis Forensik
| Tool | Tipe | Fitur Utama |
|---|---|---|
| Autopsy | Open Source | File recovery, timeline analysis, keyword search, hash matching |
| Sleuth Kit (TSK) | Open Source (CLI) | File system analysis, disk forensics, data carving |
| EnCase | Commercial | Industry standard, comprehensive analysis, court-accepted |
| FTK (Forensic Toolkit) | Commercial | Fast indexing, email analysis, registry analysis |
| X-Ways Forensics | Commercial | Lightweight, fast, powerful hex editor |
| Volatility | Open Source | Memory forensics β analisis RAM dump |
| Bulk Extractor | Open Source | Extract email, URLs, credit cards dari raw data |
Analisis dengan Autopsy
Contoh: Analisis dengan Autopsy dan Sleuth Kit
# ============================================ # Autopsy β Open Source Digital Forensics Platform # ============================================ # Install Autopsy (Linux) # Autopsy membutuhkan Sleuth Kit dan Java sudo apt install autopsy sleuthkit # Atau gunakan pre-built VM/ISO dari: # https://www.autopsy.com/download/ # Jalankan Autopsy autopsy & # Buka browser: http://localhost:9999/autopsy # ============================================ # Proses Analisis di Autopsy # ============================================ # 1. BUAT CASE BARU # - Case Name: "Server Compromise Investigation" # - Case Number: CASE-2026-001 # - Examiner: John Doe # 2. TAMBAHKAN DATA SOURCE # - Pilih "Disk Image or VM File" # - Browse ke: /mnt/evidence/case001_image.E01 # - Pilih timezone yang sesuai # - Autopsy akan otomatis mendeteksi: # β’ File system (NTFS, ext4, FAT32, dll) # β’ Partitions # β’ Volume system # 3. JALANKAN ANALYSIS MODULES # Autopsy memiliki banyak ingest modules: # π Recent Activity # - Browser history (Chrome, Firefox, Edge) # - USB device history # - Installed programs # - User account info # π Keyword Search # - Regex search untuk patterns tertentu # - Custom keyword lists # - Email addresses, URLs, IP addresses # #οΈβ£ Hash Lookup (NSRL/Custom) # - Cocokkan file hash dengan known malware database # - Cocokkan dengan hash bukti lain # π File Type Analysis # - Identifikasi file berdasarkan magic bytes (bukan ekstensi) # - Detect renamed files # ποΈ Deleted File Recovery # - Recover file yang dihapus # - Data carving dari unallocated space # π Timeline Analysis # - Visualisasi aktivitas berdasarkan waktu # - Correlate file system events dengan log entries # ============================================ # Sleuth Kit (CLI) β Command-line forensics # ============================================ # Install sudo apt install sleuthkit # List partitions di forensic image mmls /mnt/evidence/case001_image.dd # Output: # Slot Start End Length Description # 000: 0000000000 0000002047 0000002048 Primary Table (#0) # 001: 0000002048 0002047999 0002045952 NTFS (0x07) # 002: 0002048000 000976773167 000974725168 Data Partition # Deteksi file system fsstat -o 2048 /mnt/evidence/case001_image.dd # List semua file (termasuk yang dihapus) fls -o 2048 -r -m / /mnt/evidence/case001_image.dd > file_list.txt # Recover deleted file icat -o 2048 /mnt/evidence/case001_image.dd 12345 > recovered_file.doc # Timeline generation mactime -b /mnt/evidence/case001_image.dd -d -z UTC > timeline.csv # Timeline berisi: # timestamp, size, activity, permissions, UID, filename # Contoh: # 2026-06-25,14:30:00,...,m...,1000,1000,/home/user/malware.exe # 2026-06-25,14:30:05,...,cr..,1000,1000,/tmp/backdoor.sh # 2026-06-25,14:35:00,...,..c.,root,root,/etc/crontab
File System Forensics
Diagram: Data Recovery dari Disk
βββββββββββββββββββββββββββββββββββββββββββββββββββββββ β DATA ON DISK β FORENSIC VIEW β β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β β β Allocated Space (Active Data) β β β β βββ Files yang aktif dan bisa diakses β β β β βββ File system metadata (MFT, inode) β β β β βββ OS files, program files, user files β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β β β Unallocated Space (Potensi Deleted Files) β β β β βββ File yang dihapus tapi belum overwrite β β β β βββ Fragmen data dari file yang ter-fragment β β β β βββ Hidden data (steganography) β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β β β Slack Space (Ruang Sisa) β β β β βββ RAM slack (end of file β end of sector) β β β β βββ Drive slack (end of sector β cluster) β β β β βββ Bisa berisi data dari file sebelumnya β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β β β Hidden Areas β β β β βββ HPA (Host Protected Area) β β β β βββ DCO (Device Configuration Overlay) β β β β βββ Bad sectors (data mungkin masih ada) β β β β βββ SSD wear leveling areas β β β ββββββββββββββββββββββββββββββββββββββββββββββββ β βββββββββββββββββββββββββββββββββββββββββββββββββββββββ
6. Laporan Forensik
Laporan forensik adalah dokumen formal yang merangkum seluruh proses investigasi, temuan, dan kesimpulan. Laporan harus cukup detail sehingga examiner lain bisa mereplikasi hasilnya.
Struktur Laporan Forensik
Template: Forensic Report Structure
# ============================================ # STRUKTUR LAPORAN FORENSIK # ============================================ # 1. EXECUTIVE SUMMARY # - Ringkasan kasus dan temuan utama # - Ditulis untuk audience non-teknis (manajemen, pengacara) # - Rekomendasi aksi segera # 2. BACKGROUND & SCOPE # - Latar belakang kasus # - Siapa yang meminta investigasi # - Ruang lingkup investigasi # - Tujuan investigasi # 3. METHODOLOGY # - Tools yang digunakan (versi, vendor) # - Prosedur yang diikuti (NIST, RFC, SANS) # - Standar yang dipatuhi # - Keterbatasan investigasi # 4. EVIDENCE COLLECTION # - Daftar bukti yang dikumpulkan # - Metode akuisisi (disk imaging, memory dump) # - Hash values (SHA-256) untuk semua bukti # - Chain of custody # - Write blocker yang digunakan # 5. FINDINGS / TEMUAN # 5.1 Timeline of Events # - Kronologi kejadian berdasarkan bukti digital # 5.2 Indicators of Compromise (IoC) # - IP addresses, domains, file hashes # - Registry entries, scheduled tasks # 5.3 Malware Analysis (jika ada) # - Behavior analysis # - C2 communication # 5.4 Data Exfiltration Evidence (jika ada) # - Data yang diakses/diambil # - Metode exfiltrasi # 5.5 Lateral Movement Evidence (jika ada) # - Sistem lain yang diakses # - Credential harvesting # 6. ANALYSIS & CONCLUSIONS # - Interpretasi temuan # - Root cause analysis # - Indikasi attribution (jika memungkinkan) # - Confidence level setiap temuan # 7. RECOMMENDATIONS # - Aksi segera (containment, eradication) # - Perbaikan jangka panjang # - Pencegahan serupa di masa depan # 8. APPENDICES # - Full timeline data # - Hash verification logs # - Tool version details # - Glossary istilah teknis # - Investigator credentials
7. Best Practices dan Legal
Pertimbangan Legal
| Aspek | Penjelasan |
|---|---|
| Authorization | Pastikan memiliki otorisasi hukum untuk melakukan imaging β surat perintah, consent, atau kebijakan perusahaan |
| Scope | Batasi pencarian sesuai authorization β jangan melebihi scope |
| Privacy | Hormati privasi β tangani data pribadi sesuai UU PDP (UU No. 27/2022) |
| Admissibility | Bukti harus dapat diterima di pengadilan β ikuti standar forensik yang diakui |
| Documentation | Dokumentasi lengkap adalah kunci β semua langkah harus tercatat |
π‘ Best Practices Disk Forensics
- β Selalu gunakan write blocker β TANPA PENGECUALIAN
- β Buat minimal DUA salinan image β satu untuk analisis, satu untuk backup
- β Verifikasi hash sebelum dan sesudah imaging
- β Dokumentasikan SEMUA langkah dalam forensic notes
- β Simpan bukti asli di tempat yang aman β hanya akses image
- β Gunakan tools yang diakui secara forensik (EnCase, FTK, Autopsy)
- β Catat versi semua tools yang digunakan
- β Image dari RAM SEBELUM disk β RAM bersifat volatile
- β Untuk SSD β pertimbangkan TRIM dan wear leveling
- β Sertifikasi: EnCE, GCFE, CCE, CFCE untuk kredibilitas
8. Quiz: Uji Pemahamanmu!
Setelah membaca tutorial di atas, jawablah 5 pertanyaan berikut untuk menguji pemahamanmu tentang Digital Forensics - Disk Imaging: