A cadeia de custódia envolve etapas como identificação, isolamento, coleta, preservação, duplicação forense, verificação e armazenamento seguro.

Na fase de identificação dos dados, não é necessário considerar aspectos legais, pois essa análise é exclusivamente técnica.

O isolamento dos dispositivos pode envolver a restrição de conectividade, como o uso de modo avião ou caixas de Faraday.

Durante a coleta de dados, é recomendável apreender todos os dispositivos disponíveis, independentemente do planejamento inicial.

A volatilidade de certos artefatos, como dados em memória, deve ser considerada durante a coleta.

A extração manual é sempre preferível à utilização de ferramentas automatizadas em investigações forenses.

Técnicas como JTAG e chip-off podem ser utilizadas para extração avançada de dados em dispositivos.

Na coleta “live”, é dispensável o uso de mídias estéreis, pois os dados já estão em uso no sistema.

A coleta de dados em nuvem pode depender de credenciais obtidas do usuário, de tokens disponíveis nos dispositivos ou de requisição judicial ao provedor.

A análise direta no dispositivo original é uma prática recomendada para evitar perda de dados.

A preservação dos dados envolve cuidados com transporte, controle de acesso e condições ambientais.

A duplicação forense pode ser realizada por meio de cópia bit a bit, utilizando software ou hardware especializado.

Funções hash são determinísticas e sempre produzem saídas de tamanho variável conforme o tamanho da entrada.

O algoritmo MD5 gera valores de hash de 128 bits e possui vulnerabilidades conhecidas.

No sistema binário, cada posição à esquerda vale duas vezes o valor da posição imediatamente à direita.