Le Forensic (sous entendu Computer Forensic), en français appelé analyse forensique ou plus souvent investigation numérique, est l'art et la technique d'analyser un système mort (ordinateur, téléphone portable …) dans le but d'en sortir les éléments de preuves.

La méthodologie générale est la suivante:

1. sécuriser la preuve (le plus souvent en réalisant une image disque)
2. effectuer les étapes de pré-traitement
3. lancer les recherches
4. générer un rapport et faire l'extraction des éléments pertinents

Dans les challenges on trouve généralement des fichiers .pcap corresponadnt à la capture de trafic réseau sujet abordé en fin d'article/page.

Le but est de préserver la preuve, c'est-à-dire qu'un branchement du support à analyser sur un système standard n'est pas envisageable. Plusieurs solutions sont envisageables :

1. l'utilisation de bloqueurs en écriture matériels (ex: Tableau T35es, T8, …)
2. l'utilisation de système de duplication spécialisé (ex: ICS SOLO 4, Tableau TD3)
3. l'utilisation de distribution linux dédiée (ex: Caine, DEFT, SIFT, BackTrack en mode Forensic…)