Istražitelj ovdje pokušava pronaći, spasiti ili rekonstruirati što više podataka može. Istražuju se:
Prilikom forenzičke analize dokumenata, istražitelj obraća pažnju na metapodatke dokumenta te na povezanost zaglavlja i ekstenzije. Tek kad se dovrši analiza nad svim tim podacima se može reći da je neki dokument uistinu ono što korisnik tvrdi da jest, te da ništa ne skriva.
Metapodaci, odnosno „podaci o podacima“ su bitan izvor informacija. Sadrže podatke kao što su:
Na slici ispod je prikazan primjer metapodataka MS Word dokumenta u stvaranju. Kako prilikom razmjene dokumenata na webu korisnik ne bi slao i metapodatke (iz sigurnosnih razloga), mogu se koristiti razni alati (npr. iScrub) koji „čiste“ dokumente od metapodataka.
Osim metapodataka, bitno je obratiti pažnju na to da ekstenzija i zaglavlje dokumenta odgovaraju jedno drugome (svaki tip dokumenta ima točno određeno zaglavlje). Ako bi, na primjer, korisnik htio sakriti sliku (ekstenzija .JPEG) koja bi ga mogla inkriminirati (npr. optužen je zbog pregledavanja dječje pornografije), on može promijeniti ekstenziju datoteke .JPEG u .MP3. Na taj način istražitelj prilikom površne pretrage može isključiti taj dokument kao nebitan ako filtrira podatke po ekstenziji. No zaglavlje dokumenta još uvijek odgovara .JPEG dokumentu te se on još uvijek može otvoriti alatom za uređivanje slika. Postoje forenzički programi koji uspoređuju ekstenziju sa zaglavljem i javljaju ako je došlo do diskrepancije. No čak i kad zaglavlje i ekstenzija odgovaraju jedno drugome, ne znači da korisnik nije izmijenio oboje kako bi sakrio datoteku istražitelju „pod nosom“. Ako se takva datoteka pokuša otvoriti, računalo će javiti da je došlo do greške. U tom trenutku istražitelj mora znati koje zaglavlje treba ubaciti u dokument da bi ga mogao otvoriti (standardna zaglavlja se mogu pronaći na Internetu). Uz to, istražitelj treba obratiti pažnju na dokumente koji su otvarani i mijenjani nedavno ili relativno često.
Mrežna forenzika uključuje analizu mrežne opreme kao što su usmjeritelji, preklopnici (eng. switch), koncentratori (eng. hub), NIC (eng. Network Interface Card), samo računalo te razni mediji poput parica, optičkih kablova i sl. Konkretni podaci se mogu naći na sljedećim uređajima:
Ova grana računalne forenzike predstavlja najteže područje zbog prirode mobilnih uređaja da se iz godine u godinu potpuno mijenjaju. Od starih “cigli” koje su služile samo za pozive do današnjih smartphone uređaja koji gotovo mogu zamijeniti prijenosno računalo, ne samo po performansama nego i po količini memorije. Jedini način na koji istražitelj može pristupiti istrazi mobilnih uređaja je da konstantno bude u toku sa svim modernim čudima. U ovu kategoriju se ubrajaju:
Mobiteli se danas koriste za mnogo više od samih poziva. Analizom adresara može se vidjeti s kim je osoba bila u kontaktu. Nedavni pozivi govore s kim je nedavno kontaktirala, a kalendar može pokazati s kim se i gdje našla. Stoga ne čudi što su istražiteljima veoma zanimljivi podaci koji se mogu pronaći na mobilnim uređajima kao što su:
Web forenzika je područje koje se bavi analizom aktivnosti web preglednika (eng. web browser), elektroničke pošte te Instant Messaging komunikacije. Vedina korisnika, i poslovnih i privatnih, najvedi dio vremena provedenog za računalom provodi online. Lako je shvatiti koliko forenzičar može saznati o korisniku samo pregledavajudi njegovu aktivnost na Internetu. Bilo da je riječ o otkrivanju najposjedenijeg portala s kojeg korisnik čita vijesti uz jutarnju kavu, ilegalno preuzete glazbe i filmova, pornografskih slika ili razgovora između dva zaposlenika o tome kako de se osvetiti zlom šefu, činjenica je da web aktivnost može mnogo toga otkriti o osobi.
U sklopu analize web aktivnosti, istražitelj će obratiti pažnju na:
Saznaj više o analizi web aktivnosti
Saznaj više o podacima u e-mailu
Saznaj više o Instant Messagingu