De manera aislada o enmarcado en una Investigación Digital más amplia, se realizará un análisis forense cuando existan soportes físicos con información susceptible de ser analizados: discos duros, PDAs, memorias USB, etc. Mediante la aplicación de avanzadas técnicas de recuperación de datos borrados, búsqueda cruzada automatizada y correlación, es posible localizar en dichos soportes los fragmentos de información que respondan a las necesidades del cliente.
Un caso particular de análisis forense es el de sistemas comprometidos, o análisis post-mortem. Ante una intrusión en los sistemas de una organización -o un acto malintencionado por parte de un empleado- Incide puede llevar a cabo un análisis forense a fin de determinar la procedencia de las acciones y detallar qué y cómo se hizo.
Algunas de las evidencias que es posible obtener a través de un análisis forense son:
Archivos borrados, total o parcialmente
Rastros de comunicaciones a través de correo electrónico y mensajería instantánea
Copias masivas de ficheros desde el servidor de la empresa
Elaboración de una línea temporal, que permita reconstruir lo sucedido
