Swap / pagefile
Se la pressione della memoria sul computer di destinazione è elevata, c'è la possibilità che alcune pagine di memoria del processo del browser vengano scambiate sul disco (il file di paging su Windows e il file di swap su Linux). Su sistemi moderni con molta RAM, molto poco, se non altro, viene scambiato. Inoltre, questo spazio di swap è a volte crittografato, con la chiave conservata solo in memoria. La chiave è casuale e quindi non può essere decifrata. Le versioni più recenti di Windows possono farlo per impostazione predefinita. Le versioni precedenti richiedono all'utente di abilitare manualmente la crittografia dello spazio di swap. Quando il file di swap è crittografato, o quando il disco contenente il file di swap è crittografato, spegnendo il computer (sia in modo naturale che senza scollegarlo senza troppe cerimonie) il risultato sparirà.
File scaricati
Ogni volta che viene visualizzata una richiesta di download, il file da scaricare inizia automaticamente a essere salvato, solitamente con l'estensione .crdownload . Questo download si verifica anche se l'utente annulla il download o addirittura non lo accetta. Questo viene fatto come ottimizzazione per migliorare la velocità apparente di download. Se l'utente non specifica un nome file per salvarlo come e iniziare il download, il file temporaneo verrà eliminato non appena il prompt viene chiuso. Potresti essere in grado di dedurre quali siti sono stati visitati guardando in spazio non allocato del filesystem per questi residui.
Potrebbero esserci motivi per cui un utente ha inavvertitamente attivato la richiesta di download. Alcuni link, quando cliccato, accedono a una risorsa in cui un'intestazione HTTP fa sì che il file venga scaricato anziché essere aperto in linea nel browser. Inoltre, un utente abituato a utilizzare le scorciatoie del browser potrebbe premere accidentalmente ctrl + s , che apre una richiesta di download per la pagina corrente.
Sommario
La modalità di navigazione in incognito fa uno sforzo per non salvare nulla sul disco in modo persistente. Ciò significa che non ci saranno cookie, nessuna memoria locale, nessuna cronologia, ecc. Se non si ha accesso ai log dall'ISP o qualcosa di simile, non sarà possibile determinare a quali siti è stato effettuato l'accesso se il computer della destinazione è il il browser in incognito è in esecuzione è stato chiuso. Tieni presente che ciò sarà ancora più difficile se si utilizza la crittografia, poiché ciò proteggerà anche lo spazio di swap oi file temporanei.
In tutti questi casi, dovresti creare una copia forense esatta del dispositivo di archiviazione e conservarne un strong hash crittografico altrove per assicurarti che non sia stato manomesso. A meno che non si cloni il disco in questo modo, ci sarà il rischio che il computer si accenda automaticamente (ad esempio a causa di Wake-on-LAN), rendendo le prove ottenute potenzialmente inammissibili.