Hay dos pasos principales en el proceso de recuperación de datos electrónicos; «Adquisición» del medio de destino y un análisis forense byte por byte de los datos.
La ciencia forense informática se creó para abordar las necesidades específicas y articuladas de la aplicación de la ley para aprovechar al máximo esta nueva forma de evidencia electrónica.
La ciencia forense informática es la ciencia de adquirir, preservar, recuperar y presentar datos que han sido procesados electrónicamente y almacenados en un medio informático.
En lugar de producir conclusiones interpretativas, como en muchas disciplinas forenses, la ciencia forense informática produce información y datos directos que pueden tener alguna importancia en un caso. Este tipo de recopilación directa de datos tiene implicaciones de amplio alcance tanto para la relación entre el investigador y el científico forense como para el producto del trabajo del examen informático forense.
En el laboratorio de electrónica forense por medio de la utilización de herramientas forenses informáticas personalizadas, el medio de destino se adquiere a través de un procedimiento de imagen de flujo de bits completo, no invasivo, área por área. Durante el proceso de generación de imágenes, es fundamental que la imagen reflejada se adquiera en un entorno DOS. Encender la computadora y arrancar en su sistema operativo modificará sutilmente el sistema de archivos, destruyendo potencialmente algunas pruebas recuperables.
La imagen resultante se convierte en el «archivo de pruebas», que se monta como un archivo de solo lectura o «virtual», en el que el examinador forense realizará su análisis. El software forense utilizado crea un archivo de evidencia que será verificado continuamente por un algoritmo de suma de comprobación de redundancia cíclica («CRC») para cada 64 sectores (bloque) de datos y un archivo hash de cifrado MD5 de 128 bits para toda la imagen. Ambos pasos verifican la integridad del archivo de pruebas y confirman que la imagen se ha mantenido inalterada y forense intacta. Con el cifrado de hash MD5, cambiar incluso un bit de datos dará como resultado una notificación de que los datos del archivo de pruebas se han modificado y ya no están intactos desde el punto de vista forense.
Blogger novato