Análisis de la evidencia
En esta fase de la investigación, se pueden encontrar grandes cantidades de información, que según el tipo de ataque o suceso que se produjo durante el incidente, puede acarrear gran tiempo de la investigación, en procesos como reconstrucción de la evidencia, e identificación de acciones puntuales. En esta fase, seguramente se requerirá que haga uso de un toolkit especializado, para que no se produzcan cambios en la evidencia original, y facilite el trabajo del investigador, para encontrar más fácilmente rastros y producir informes de forma clara y precisa. Es importante realizar lo siguiente para comenzar a trabajar sobre la evidencia :
• Saber por dónde se va a comenzar, en términos de ubicación física de archivos clave.
• Establecer una línea de tiempo, la cual debe comprender el posible instante en el cual ocurrió el incidente, así como el momento en que se supo de su ocurrencia. Trabajar en lo posible sobre copias exactas de la evidencia original, comprobadas a través de funciones hash como MD5 o SHA1.
Una vez hecho esto, lo ideal sería que los análisis y pruebas realizados sobre los datos de evidencia, se llevaran a cabo en un sistema idealmente idéntico al original donde ocurrió el incidente, esto con el fin de que no se produzcan alteraciones sobre la evidencia original, y que el trabajo sea certero debido al entorno y un poco más flexible; esto se conoce como preparación del entorno de trabajo .
El siguiente paso consiste en intentar recuperar la información que se encuentre ya sea eliminada o modificada, teniendo en cuenta que estas acciones se hayan producido durante la línea de tiempo que se planteo en un comienzo. Una buena práctica, seria comenzar por buscar datos que se supone, no deben cambiar su estado, ya que estos son uno de los objetivos principales de los atacantes, así mismo como instalaciones de elementos extraños que hayan permitido al atacante la modificación y/o eliminación de datos implicados, ya que con esto es posible acotar mejor la línea de tiempo
