La piedra angular en la ciencia forense es el artefacto . Necesita conocer un sistema lo suficientemente bien como para poder mapear los artefactos generados por las actividades en ese sistema. La informática forense requiere lo mismo; Conozca los sistemas informáticos lo suficientemente bien como para que pueda buscar los artefactos necesarios y construir la historia de lo que sucedió en ese sistema. Algunas de las preguntas pueden ser sobre actividades como
* Qué actividades de Internet realizó el usuario
* Qué redes conectan los usuarios
* Qué dispositivos externos el usuario conectó al sistema
* A qué datos accedió el usuario
* Qué datos produjo el usuario
Los investigadores forenses siguen aprendiendo sobre tecnologías para aprender sobre artefactos y luego las empresas invierten en la producción de softwares que pueden ayudarlo a automatizar la extracción o el análisis de estos artefactos que ya sabe que existen.
- ¿Está el gobierno típicamente desactualizado en el sector tecnológico?
- ¿Cómo funciona realmente el descifrado de contraseñas?
- ¿Se puede hackear una comunicación SMS? ¿Cómo?
- ¿Qué hace exactamente el programa Paterva / Maltego?
- ¿Cuáles son las cosas básicas que debemos aprender para piratear y cuáles son los tipos de piratería en el mundo moderno?
Puede saltar directamente al aprendizaje de tales herramientas, pero no lo ayudará a largo plazo, ya que dependería de la herramienta y no puede extraer ninguna información por su cuenta y no puede verificar falsos positivos.
La segunda opción es elegir un dominio de tecnología basado en su conocimiento previo y comenzar a desarrollar su conocimiento de tecnología además de aprender a usar una herramienta. Las tecnologías han crecido demasiado y no es posible que una sola persona domine todas y cada una de ellas. Algunos dominios principales son
* Forense de red
* Sistema operativo forense (Windows, * nix, OS X)
* Forense móvil
Eche un vistazo a los cursos de capacitación de SANS Institute DFIR y tendrá una idea de por dónde comenzar. Una vez que entienda cómo funciona el análisis forense y evalúe su conocimiento e interés existentes, entonces haga una pregunta precisa como ¿Cómo empiezo a aprender análisis forense de redes o análisis forense de Windows? etc.