Certificación matemática de los archivos
Envío de la evidencia a través de una conexión remota
Ejecución de un intérprete de comandos legítimo
Verificación de los usuarios conectados al sistema y de los usuarios con acceso remoto
Verificación de las fechas y hora de acceso, creación o modificación de todos los archivos
Verificación de los puertos abiertos
Verificación de las aplicaciones asociadas con los puertos abiertos
Verificación de los procesos activos
Verificación de las conexiones actuales y recientes
Revisión de los registros de eventos o sucesos del sistema operativo
Verificación de la base de datos del Registro del sistema operativo
Examinar los archivos de configuración del sistema operativo
Verificación y obtención de las claves de los usuarios del sistema
Verificación de archivos relevantes
Descarga de los archivos temporales
Verificación de los enlaces a archivos rotos
Verificación de los archivos de navegación por Internet
Verificación y descarga de los archivos de correo electrónico
Cliente de correo Outlook Express
Cliente de correo Microsoft Outlook
Cliente de correo Netscape Messenger
Documentar los comandos utilizados durante la recolección de datos o en la respuesta al incidente
Generación de un script o secuencia de comandos
Alternativa II, con el equipo apagado
Procedimiento para el análisis e interpretación de los indicios probatorios
Elementos a examinar en el disco duro: (Anexo - Lista de control de Análisis de discos)
Discos rígidos de computadoras portátiles
Aspectos a considerar de los sistemas de archivos de los sistemas operativos
Niveles de almacenamiento en el sistema de archivos
Nivel de clasificación de la información
Nivel de unidades de asignación
Nivel de gestión del espacio de almacenamiento
Unidades de asignación (FAT Clusters)
