“Forentse” hitzak jaso den ebidentziaren bilketarako, analisirako eta aurkezpenerako ezarritako prozesu zientifiko mota bat izendatzen du. Arlo digitalean ere erabiltzen da termino hau eta analisi forentsea edo informatika forentsea esaten zaio.
Analisi forentsea sistema informatikoen, sareen, kablerik gabeko komunikazioen eta biltegiratzeko gailuen datuak bildu eta aztertzeko elementu legalak eta informatikoak uztartzen dituen diziplina da, sistema horiek arriskuan dauden edo egon diren edo legez kanpoko jardueretarako ez diren edo baimenduta ez dauden jardueretarako erabili ote diren jakiteko. Hortaz, azterketaren emaitza probatzat onar dezakete justizia auzitegi batean.
1980ko hamarkadaren erdialdetik, delitu informatikoekin lotuta dauden legezko kasuek analisi forentsera jo dute ordenagailuetan eta bestelako gailuetan legezko frogak lortzeko. Analisi forentsetik lortutako egitateek eta ondorioek auzitegi batean aurkeztutako beste edozein frogek izaten duten azterketa eta gidalerro berberak izaten dituzte.
Informatika forentsean adituek datuen biltegiratze-gailuak ikertzen dituzte, bai finkoak, esaterako, disko gogorrak, bai erauzgarriak, USB memoriak adibidez. Haien zeregina da:
- Froga dokumentalen edo beste froga digitalen iturriak identifikatzea.
- Frogak gorde eta babestea.
- Frogak aztertzea.
- Analisiaren emaitzak aurkeztea.
Analisi forentsean aplikatzen den metodologiak lau etapa ditu:
- Identifikazioa: Erasoa jasan duen gertakariaren edo gailuaren aurretiazko analisia, gainerako prozesuan erabiliko den metodologia zehazteko. Fase honetan gailuaren egoera fisikoa aztertzen da, esaterako, gailuan kalterik ote dagoen edo datuak ezabatu dituzten zehazteko.
- Babesa eta/edo erdiespena: Erdiespenean zehar, jatorrizko informazioa jatorrizko diskotik erabat garbi dagoen helmuga-diskora pasa behar da. Etapa hau zailenetakoa da, izan ere, jatorrizko gailuan zegoen egoera berean gelditu behar da eta tresnak gaizki erabiliz gero, aztertu beharreko datuak ezaba daitezke. Analistak kopiatutako informazioa jatorrizkoaren berdina izan behar da bitez bit. Babesak datuak egoera ezin hobean jasotzea esan nahi du, hau da, kopiatu diren moduan, inolako aldaketarik gabe. Datuok epe laburrean erabil daitezke, baina baliteke denbora gehiago igarotzea erabiltzen dituzten arte, beraz, babesa funtsezkoa da. Helmuga-gailua gai izan behar da datuak behar beste denbora gordetzeko.
- Analisia: jatorrizko euskarritik softwarea eta hardwarea ikertu eta aztertzen dira. Hau da faserik teknikoena. Espezialistak informazio guztia atera eta ikerketarako baliotsuak diren datuak filtratzen ditu, bat bera ere ezabatu gabe. Fase honetan, erasoan jatorria bilatzen da eta identifikazio fasean eginiko galderei erantzun. Analisian froga gisa balio dezakeen guztia bilatzen da. Aztertutako artxiboak askotarikoak izan daitezke, hala nola mezu elektronikoak, bilaketa-historiak, erabiltzaileen azkeneko konexioak, beste gailu batzuen konexioak, etab.
- Dokumentazioa: azken fase honetan, beharrezko informazio guztia eta aurreko etapetan aurkitutako frogak biltzen dira. Informazio guztiarekin txosten objektibo eta ordenatua idazten da. Txostenak izan behar duen egitura ez dago aurrez ezarrita, baina ezinbestekoa da gertatutakoa eta ikerketan zehar ateratako ondorioak azaltzen dituen laburpen exekutiboa izatea. Gainera, dokumentazioan jatorrizko gailua eta eginiko kopiak txertatu behar dira.