Se trata de un sistema estándar que analiza los ordenadores atacados por virus y en los cuales el atacante ha conseguido tener un control total del equipo. Mediante el análisis forense informático se estudian las acciones realizadas por los usuarios (ficheros copiados, leídos, borrados, programas ejecutados, etc.) y así poder reconstruir las acciones ejecutadas.
Este proceso se conoce como análisis forense informático debido a sus similitudes con una autopsia real realizada en investigaciones policiales. Los pasos que sigue son: “Congelar la escena”, es decir, realizar una copia del estado en el que se encuentran los sistemas atacados, de forma que se puedan “preservar” las evidencias; Descubrir los programas que fueron ejecutados, los datos leídos, los modificados; Indicar la secuencia de acciones que realizó el atacante en el equipo y reconstruir así las acciones que llevó a cabo; e Identificar, en su caso, al responsable del ataque informático a través de sus huellas virtuales.
Este análisis forense informático tiene utilidades en el campo de la seguridad empresarial, así como en investigaciones sobre delitos informáticos y búsqueda de pruebas, huellas o indicios delictivos. El sistema se presento en el Congreso de Seguridad en Cómputo, organizado por la universidad Nacional Autónoma de México (UNAM), a cargo de Francisco Montserrat, uno de los expertos en Seguridad de RedIRIS, que defiende un análisis forense informático en castellano, basado en el estudio de la información de un sistema Linux que había sido previamente atacado.
