El realizar una recolección forense desde un sistema en funcionamientos no es un procedimiento rudimentario. A continuación un ejemplo sobre un escenario donde debe aplicarse. Al encontrarse con una computadora funcionando en la escena de un incidente, se necesita inicialmente responder dos preguntas. Primero; ¿La potencial evidencia a ser recuperada merece el esfuerzo y tiempo?. En algunos casos la respuestas puede ser “no”. En casos los cuales involucran Malware o software malicioso, la memoria RAM es de vital importancia. En otros casos, como una clara posesión de pornografía infantil, la RAM puede tener menor valor.

En segunda instancia la pregunta es; ¿Están disponibles los recursos necesarios?. Para capturar exitosamente la evidencia residiendo en la memoria, se requieren algunas herramientas especializadas y entrenamiento. Sin estos ingredientes, podría ser la opción más simple desconectar el suministro electrónico de la computadora.

El riesgo de comprometer la evidencia puede ser simplemente demasiado grande. Es importante entonces ser capaz de reconocer cuando se requiere ayuda en un escenario el cual excede nuestras capacidades.

Cuando se interactúa con una maquina en funcionamiento, siempre es mejor seleccionar la perspectiva menos invasiva posible. Esto requiere pensar adecuadamente antes de hacer un simple “clic”. La urgencia no es buen aliado en esta situación. Como ya se ha mencionado, primero se requiere recolectar la información más volátil.

Fuentes:

http://www.iosrjournals.org/iosr-jece/papers/NCNS/109-113.pdf
http://www.search.org/files/pdf/CollectEvidenceRunComputer.pdf