As fases de um relatório forense - Perícia
Algumas ou todas as atividades a seguir podem ser realizadas para a realização de um relatório forense: identificação, aquisição e preservação, análise, relatório.
A atividade de identificação consiste em reconhecer quais podem ser as fontes de origem dos dados.
É uma fase menos trivial do que se possa imaginar, na verdade, o número de dispositivos digitais capazes de conter informações está aumentando cada vez mais, sejam eles sistemas de backup de design ou dispositivos IOT, como smartwatches, pulseiras inteligentes, etc.
A atividade de aquisição e preservação forense em primeiro lugar, apresenta dois cenários distintos:aquisição "ao vivo" de um sistema já ligado e a aquisição de um sistema digital desligada. Se o sistema for ligado, devem ser utilizadas tecnologias capazes de coletar as chamadas "evidências voláteis", como memórias, processos ativos e conexões, usuários logados ..., que se perdem quando o sistema é desligado. Nesta fase, o técnico também terá o cuidado de utilizar as funções de Cálculo de hash (MD5, SHA256 por exemplo) para demonstrar que o achado de origem coincide com a cópia digital utilizada para o laudo pericial, garantindo também sua repetibilidade.
Uma vez que todas as operações preliminares tenham sido realizadas, você pode então prosseguir com a atividade principal de um relatório forense: análise. Nesta fase, o especialista forense usa seu conhecimento de informática e vários softwares para revelar dados excluídos, construir cronogramas, pesquisar palavras-chave e identificar vestígios digitais.
