O próximo passo na análise pericial é a correlação
das evidências. Em quase todos os casos é preciso correlacionar
as informações extraídas do sistema invadido, tanto para comprovar
uma suspeita ou para a identificação de novas pistas, trazendo um
maior entendimento sobre o incidente ocorrido.
A relação entre duas ou mais informações pode
ser estabelecida segundo vários parâmetros como, por exemplo, registros
de tempo, relações de causa e efeito, e números de identificação
(PID, UID, GID, endereços IP e portas de serviços de rede, entre
outros). Por isso, as evidências encontradas devem ser bem descritas,
contendo os dados necessários para um relacionamento.
|