De forma aïllada o dins un procés d’Investigació Digital més ampli, s’efectuarà una anàlisi forense quan existeixin suports físics amb informació susceptible d’ésser analitzada: discs durs, PDAs, memòries USB, etc. Mitjançant l’aplicació d’avançades tècniques de recuperació de dades esborrades, recerca creuada automatitzada i correlació, és possible localitzar en els diferents suports els fragments d’informació que responen a les necessitats del client.
Un cas particular en l’anàlisi forense és el de sistemes compromesos o anàlisi post-mortem. Davant una intrusió en els sistemes d’una empresa –o un acte malintencionat d’un empleat- Incide pot portar a terme un anàlisi forense amb l’objectiu de determinar la procedència de les accions i detallar què i com es va fer.
Algunes de les evidències que es poden obtenir a través d’una anàlisi forense són:
Arxius esborrats, total o parcialment
Rastres de comunicacions a través del correu electrònic i la missatgeria instantània
Copies massives de fitxers des del servidor de l’empresa
Elaboració d’una línia temporal, que permeti reconstruir el que ha passat.
