herramienta de imagen , ya sea hardware o software
Writeblocking herramienta
medio de almacenamiento de datos recogidos
Ver Más instrucciones
1
Preparación para el examen forense . Hable con las personas clave para encontrar lo que usted está buscando y lo que las circunstancias que rodean el caso es. Cuando usted tiene una fundación en el caso, comenzar a ensamblar sus herramientas para recopilar los datos en cuestión .
2
Recoge los datos de los medios de comunicación de destino. Usted será la creación de una imagen duplicada exacta del dispositivo en cuestión . Para ello, tendrá que utilizar una aplicación de software de imágenes como la EnCase comercial o de código abierto SleuthKit /Autopsy (ver sección de Recursos) .
Con el fin de extraer el contenido de la computadora en cuestión, conecte el equipo que se está investigando a un disco duro portátil u otros medios de almacenamiento y luego arrancar el equipo bajo investigación de acuerdo con las instrucciones para el software que está utilizando. Es imprescindible que siga las instrucciones con precisión porque aquí es donde comienza la cadena de custodia . Asegúrese de que utiliza una herramienta writeblocking cuando las imágenes de los medios de comunicación que se investigan. Esto se asegura de que nada se añade al dispositivo cuando se va a crear su imagen .
Al recoger pruebas , asegúrese de revisar los registros de correo electrónico también. A menudo, estos mensajes producen una gran cantidad de información .
3
Examinar las pruebas recogidas en la imagen que ha creado. Documento cualquier cosa que usted encuentra y donde se le encontró. Hay herramientas disponibles para ayudar a buscar en archivos abiertos , archivos encriptados , unidades asignadas , e incluso analizar las comunicaciones de red . Usted puede mirar en ambos productos comerciales y que son open source .
4
Analizar los datos que han recogido de forma manual buscando en los medios de almacenamiento y , si el destino es un equipo con Windows , el registro. Asegúrese de buscar en las búsquedas en Internet , así como el correo electrónico y las imágenes que se almacenan en el equipo de destino . Muchas veces , los delincuentes ocultar información incriminatoria en imágenes y mensajes de correo electrónico a través de un proceso llamado esteganografía .
5
reportar sus conclusiones a su cliente. Asegúrese de proporcionar un informe claro y conciso ; este informe puede terminar como prueba en un proceso judicial
.