Swap / pagefile
Si la presión de la memoria en la máquina de destino es alta, existe la posibilidad de que algunas páginas de la memoria del proceso del navegador se intercambien en el disco (el archivo de páginas en Windows y el archivo de intercambio en Linux). En los sistemas modernos con mucha memoria RAM, muy poco, si es que algo, se intercambia. Además, este espacio de intercambio a veces se cifra, y la clave se guarda solo en la memoria. La clave es aleatoria y, por lo tanto, no se puede descifrar. Las versiones más recientes de Windows pueden hacer esto de forma predeterminada. Las versiones anteriores requieren que el usuario habilite manualmente el cifrado del espacio de intercambio. Cuando el archivo de intercambio está encriptado, o cuando el disco que contiene el archivo de intercambio está encriptado, apagar la computadora (ya sea naturalmente o desenchufando el dispositivo de manera no ceremoniosa) hará que la clave desaparezca.
Archivos descargados
Cada vez que se abre un mensaje de descarga, el archivo a descargar comienza a guardarse automáticamente, generalmente con la extensión .crdownload
. Esta descarga se produce incluso si el usuario cancela la descarga o ni siquiera la acepta. Esto se hace como una optimización para mejorar la velocidad de descarga aparente. Si el usuario no especifica un nombre de archivo para guardarlo y comenzar la descarga, el archivo temporal se eliminará tan pronto como se cierre el aviso. Es posible que pueda inferir qué sitios se visitaron al buscar en estos espacios del sistema de archivos no asignados.
Puede haber motivos por los que un usuario haya activado inadvertidamente el mensaje de descarga. Algunos enlaces, cuando se hace clic en ellos, acceden a un recurso donde un encabezado HTTP hace que el archivo se descargue en lugar de abrirse en línea en el navegador. Además, un usuario que está acostumbrado a usar accesos directos del navegador puede presionar accidentalmente ctrl + s , que abre un mensaje de descarga para la página actual.
Resumen
El modo de incógnito hace un esfuerzo por no guardar nada de forma persistente en el disco. Esto significa que no habrá cookies, ni almacenamiento local, ni historial, etc. Si no tiene acceso a los registros del ISP o algo similar, no podrá determinar a qué sitios se ha accedido si la computadora del objetivo donde se encuentra. el navegador de incógnito se está ejecutando se ha cerrado. Tenga en cuenta que esto será aún más difícil si se usa el cifrado, ya que también protegerá el espacio de intercambio o los archivos temporales.
En todos estos casos, debe hacer una copia forense exacta del dispositivo de almacenamiento y mantener un hash criptográfico fuerte en otro lugar para asegurarse de que no haya sido manipulado. A menos que clone el disco de esta manera, existe el riesgo de que la computadora se encienda automáticamente (por ejemplo, debido a Wake-on-LAN), lo que hace que las pruebas obtenidas sean inadmisibles.