Para un usuario “normal” o promedio, el presionar la tecla “borrar” proporciona un sentido satisfactorio de seguridad. Con el clic de un ratón, se piensa los datos se han borrado por siempre, nunca más volviendo a aparecer. Contrariamente a la creencia de muchas personas, el presionar la tecla “borrar”, no hace nada con los datos por si mismo. El archivo no se va a ninguna parte. El “borrar” un archivo únicamente le indica a la computadora, el espacio ocupado por un archivo está disponible si la computadora lo necesita. Los datos borrados residirán allí hasta otro archivo lo sobrescriba.

Existe una frase la cual expresa; “Los ojos son las ventanas del alma”, pero para el profesional forense, las ventanas son el alma de la computadora. Son muy altas las probabilidades para los profesionales forenses, de encontrarse frecuentemente con sistemas operativos Windows cuando realizan sus investigaciones. La buena noticia es la posibilidad de utilizar Windows como una herramienta para la recuperación de datos, y rastrear las huellas dejadas por los usuarios.

Al concluir el análisis forense, el profesional generará un reporte final detallando todo lo realizado, aquello encontrado, y los hallazgos. Idealmente los reportes necesitan ser elaborados, teniendo en consideración a la audiencia prevista. En realidad, muchos reportes se leen como su fuesen un manual de usuario de un transbordador espacial. No únicamente estos reportes pueden ser difíciles de leer, también pueden resultar intimidatorios.

¿Cómo es posible saber si la imagen forense creada, es un duplicado exacto del dispositivo de almacenamiento original conteniendo evidencia?. La respuesta viene en la forma de un valor “Hash”. Un Hash es un valor único generado por un algoritmo criptográfico. Los valores Hash (funciones) son utilizados en una diversidad de maneras, incluyendo integridad de la evidencia y criptografía. Los valores Hash son comúnmente referidos como una “huella digital” o un “ADN digital”. Cualquier cambio en el dispositivo de almacenamiento, incluso un sólo bit, resultará en valor Hash diferente.

Esta etapa del proceso forense requiere aún mayor concentración comparado con las etapas previas. Una vez se inicia, se debe trabajar ininterrumpidamente hasta el proceso sea completado. De otra manera, esto es una invitación para cometer errores. Antes de comenzar, se debe acopiar todo lo necesario; formularios de reporte, lapiceros, herramientas para la captura de memoria, entre otros artículos requeridos. Cada interacción con la computadora debe ser anotada. Se puede utilizar las perspectiva de acción y respuesta, es decir “Se realiza tal acción y la computadora realizó tal acción”.

El realizar una recolección forense desde un sistema en funcionamientos no es un procedimiento rudimentario. A continuación un ejemplo sobre un escenario donde debe aplicarse. Al encontrarse con una computadora funcionando en la escena de un incidente, se necesita inicialmente responder dos preguntas. Primero; ¿La potencial evidencia a ser recuperada merece el esfuerzo y tiempo?. En algunos casos la respuestas puede ser “no”. En casos los cuales involucran Malware o software malicioso, la memoria RAM es de vital importancia.

Hasta hace relativamente un corto lapso de tiempo, el desconectar el enchufe o cortar el fluido eléctrico de una computadora o dispositivo, era la única opción real en la mayoría de escenarios forenses. Por contraste, el capturar la memoria principal de una computadora en funcionamiento, es decir la memoria RAM, no era una opción realista. Simplemente las soluciones existentes en años anteriores, no eran prácticas para ser utilizadas en un escenario relacionado a un incidente.

En el lado positivo de la adquisición forense en vivo, desconectar o interrumpir el fluido electrónico de una computadora, laptop, servidor u otro, elimina la necesidad de interactuar con la máquina en funcionamiento. Interactuar con una computadora en funcionamiento, de cualquier manera causa cambios hacia el sistema. Cualquier cambio en una pieza de evidencia es inadecuado, y puede causar problemas mayores desde el punto de vista legal.

El resultado final de realizar el proceso para la creación de una imagen forense desde un dispositivo de almacenamiento sospechoso, generalmente es un archivo conteniendo una copia exacta del dispositivo de origen. Este archivo puede tener diferentes formatos. Siendo la extensión del archivo, la manera más viables de indicar su formato. Algunos de los formatos de imágenes forenses más comunes son:

• EnCase (Extensión .E01)
• DD (Extensión .001 o .dd)
• AccessData Custom Content Image (Extensión .AD1)

El proceso para crear una imagen forense desde un dispositivo de almacenamiento como un disco duro, debería ser un proceso bastante sencillo, al menos en teoría. Típicamente se creará la imagen forense desde un dispositivo de almacenamiento hacia otro. El dispositivo de almacenamiento original es conocido como el dispositivo de origen, y el dispositivo donde se creará la imagen forense, se denomina el dispositivo destino. La unidad de destino debe ser tan grade (sino más grande), comparado con el dispositivo origen.