proceso

El proceso que sigue el investigador es el siguiente:

• Primero identifica la evidencia digital: Cómo se guarda y tipo de información.
• Adquisición de la evidencia sin alterarla o dañarla .
• Preservación: Proceso en que se generar una copia "bit-a-bit" de toda la memoria, el cual permitirá recuperar en el siguiente paso, toda la información contenida y borrada de esta.
• Análisis: Aplicación de técnicas científicas y analíticas a los medios duplicados por medio del proceso forense para poder encontrar pruebas de ciertas conductas.
• Presentación: Se realiza un reporte explicito de la investigación, los archivos y datos encontrados, posible autor y sus acciones.

Para poder realizar con éxito su trabajo, el investigador nunca debe olvidar:
- Ser imparcial. Solamente analizar y reportar lo encontrado.
- Realizar una investigación formal sin conocimiento y experiencia.
- Mantener la cadena de custodia (proceso que verifica la integridad y manejo adecuado de la evidencia) .
-Documentar toda actividad realizada

El especialista debe conocer tambien sobre:

-Técnicas de intrusión que utilizan los crackers y hackers para extraer información a los sistemas de cómputo.
- Desarrollo de los exploits (vulnerabilidades), esto le permite al informático forense saber que tipo de programas se pondrán de moda, para generar una base de estudio que le permita observar patrones de comportamiento.