Quando é descoberto o malware em um sistema, há muitas decisões e ações que devem ser tomadas, muitas vezes sob pressão. Para melhor estruturarmos um processo de investigação, incluindo a análise de malwares, podemos dividi-lo em cinco fases:

Fase 1: Preservação e análise de dados voláteis
Fase 2: Análise de memória
Fase 3: Análise de discos
Fase 4: Análise estática de malware
Fase 5: Análise dinâmica de malware

Dentro de cada uma dessas fases, as metodologias formalizadas e as metas são para ajudar os investigadores a reconstruir uma imagem vívida dos acontecimentos em torno de uma infecção por malware e obter uma compreensão detalhada do próprio malware.

Os investigadores devem sempre usar o pensamento crítico em suas observações e entrevistar os proprietários dos sistemas comprometidos, pois isso muitas vezes ajuda a desenvolver um quadro mais completo do que ocorreu.

Além disso, medidas adicionais podem ser exigidos em alguns casos, dependendo do contexto e das fontes de dados disponíveis. Quando o backup do sistema comprometido estiver disponível, pode ser proveitoso compará-lo com o estado atual do sistema, além de poder ajudar na recuperação do sistema.

Algumas organizações recolhem informações que podem ser úteis à investigação, incluindo logs centralizados de antivírus, relatórios de verificação de integridade do sistema de ferramentas como OSSEC, e logs da rede.

Coleta de malware sem alterações no sistema

O ato de coletar dados em um sistema "vivo" causa mudanças que um investigador digital terá de explicar no que diz respeito ao seu impacto sobre as provas digitais. Por exemplo, executar ferramentas como o Helix a partir de uma mídia removível irá alterar dados voláteis, quando for carregado na memória principal, e normalmente irá criar ou modificar arquivos e entradas no registro do sistema probatório.

Da mesma forma, usar ferramentas forenses remotas necessariamente estabelece uma conexão de rede, executa instruções na memória, e causa outras alterações no sistema probatório.

Os puristas argumentam que aquisições forense não devem alterar a fonte de evidências de maneira alguma.

Definindo um padrão absoluto que dita "preservar tudo, mas nada alterar" não é apenas incoerente com outras disciplinas forenses, mas perigoso em um contexto legal.

Na verdade, os tribunais estão começando a forçar a preservação de dados voláteis de computadores em alguns casos, exigindo que os investigadores preservem os dados de sistemas vivos. Na Côrte americana, no caso Indus Columbia Pictures. vs. Bunnell, por exemplo, o tribunal considerou que a memória RAM em um servidor Web pode conter dados de log relevantes e, portanto, dentro do âmbito da informação detectável no caso.

Uma das chaves para a solidez de uma análise forense é a documentação. Um caso sólido é construído sobre a documentação de apoio que reporta onde se encontram os elementos de prova e como foram tratados. Do ponto de vista legal, o processo de aquisição deve alterar as provas originais o mínimo possível, e quaisquer mudanças devem ser documentadas e avaliadas no contexto dos resultados finais de análise.