E-Forensics es la aplicación de investigación electrónica, que tiene la capacidad de recuperar datos visibles para el usuario en procesos judiciales. Los archivos eliminados a menudo contienen archivos electrónicos que no aparecen, lo cual es importante para su caso, pero la identificación de los archivos eliminados juega un papel clave en el análisis forense electrónico.
La última tecnología de análisis forense electrónico garantiza que la información sea legalmente justificable al mantener una cadena de custodia de documentos adecuada, identificar los métodos de captura de datos electrónicos y obtener el conocimiento de las últimas tecnologías utilizadas en análisis forense electrónico.
El descubrimiento electrónico es el proceso de extracción de datos de documentos electrónicos que contienen datos electrónicos como correo electrónico, archivos de procesamiento de texto, archivos de contabilidad, hojas de cálculo, archivos de presentación, bases de datos, CAD y algún tipo de registros informáticos almacenados, donde se almacenan las memorias caché de la CPU. Generalmente administrado por discos duros que incluyen memoria caché, discos magnéticos, discos ópticos como DVD’S, CD’S. Muchas veces dicha información o datos que se encuentran registrados en cualquier tipo de medio electrónico tiene la posibilidad de descubrimiento de datos en la demanda, los cuales pueden ser mostrados como prueba.
E-forensic o perito de informatica forense aplica métodos científicos especiales para determinar el alcance y la presencia de la información contenida en los medios digitales. E-forensic difiere del descubrimiento electrónico y se usa solo en caso de un posible delito involucrado. Los datos a los que el usuario no puede acceder, que incluyen información como archivos eliminados, archivos ocultos, archivos basados en la web, archivos protegidos con contraseña y dispositivos especiales como iPods, reproductores de MP3, redes de área de almacenamiento y teléfonos móviles, también se pueden descubrir con E-forensics.
Captura de medios electrónicos de forma forense:
El medio original se copia utilizando aplicaciones de captura específicas con características para que no se realicen cambios en el original. Se proporcionan algoritmos de hash de seguridad para realizar la medición inicial de cada archivo. Se aplica una forma de huella digital antes y después de las actividades de procesamiento para demostrar si el archivo se modifica o no durante el procesamiento. Los tipos más comunes de algoritmos hash utilizan MD5 (algoritmo de 128 bits) y SHA1 (algoritmo de 160 bits), que se utiliza principalmente en análisis forense informático.
Hay dos métodos para copiar el proceso: copia bit a bit e imagen forense.
- Copia bit a bit: para hacer la copia exacta del dispositivo, cada byte específico del dispositivo se copia en el nuevo dispositivo y se utiliza el software o hardware de bloqueo de escritura para evitar cualquier cambio en los datos. Esto crea la copia exacta que no requiere manipulación de los datos para recrear los medios originales.
- Imagen forense: todos los archivos en medios originales están contenidos dentro del archivo de imagen forense, donde contiene un envoltorio que protege los archivos. Para crear este archivo de imagen se requiere un software especial y no se puede modificar sin cambiar el algoritmo hash. Además se realiza una prueba de validación cruzada para validar el proceso.