Análise Forense

Durante a análise, os expertos en forense dixital revisan rexistros de eventos, acceden a arquivos eliminados ou ocultos, investigan metadatos, e buscan rastros que apunten a actividades sospeitosas. Utilízanse métodos como a análise de correo electrónico, estudos de malware ou rastreo de enderezos IP. Podemos distinguir varios pasos:

• Identificación de evidencias
  • As ferramentas de análise de imaxes de disco nos proporcionan acceso ao contido aínda que fora borrado.
  • Se deben definir os criterios de busca segundo a investigación a realizar
  • Mediante “carving” é posible extraer información eliminada (photorec/testdisk, scalpel, foremost,WinUndelete ...)
  • Os metadatos presentes no arquivo facilitan información importante (datas de creación, autores do documento, modificacións, procedencia...)
• Aseguramento das evidencias
  • Deben almacenarse en lugares de acceso restrinxido e con control ambiental 
  • Se debe traballar con protección contra picos de corrente ou cortes de luz, nun ambiente limpo e estable.
  • No caso de dispositivos móbiles deben usarse jaulas de Faraday e usar packs de baterías para evita que se descarguen. O dispositivo rexistrará ese feito que se debe documentar. 
• Documentación das evidencias
• Establecemento da cadea de custodia