De huidige digitale forensische gemeenschap bestaat grotendeels uit het ophalen en analyseren van bestaande informatie uit computersystemen. Metadata is data over data. Metadata speelt een belangrijke rol in computer forensicsch onderzoek. Het kan samenhangende informatie uit het document zelf halen. Het kan informatie onthullen die iemand probeerd te verbergen, verwijderen of verhullen. Het kan worden gebruikt om automatisch documenten te correleren van verschillende bronnen.
Een eenvoudig voorbeeld is dat de beschikbare elektronische informatie over een bestand niet gezien wordt op een gedrukt exemplaar. Het is 'embedded' en biedt de gebruiker extra informatie, zoals wanneer en door wie het gemaakt, geopend of gewijzigd is.
Informatica64 is een versie van Forensisch FOCA (Fingerprinting Organizations with Collected Archives). Dit is een softwaretool voor forensische analisten die gericht is op het gebruik van metadata-bestanden. Er bestaan zeker ook andere metadata extractie tools bestaan, maar FOCA is erg compleet.
Office-toepassingen zoals Microsoft Office of Star Office (zoals Word, Excel en PowerPoint) zijn niet de enige toepassingen die te maken en insluiten metadata. In feite zijn de meeste toepassingen voorzien van metadata. In PDF-bestanden staan vaak de auteur, titel, en andere informatie toegevoegd. Digitale foto's en films bevatten vaak grote hoeveelheden informatie over de afbeelding of film, vaak met inbegrip van het merk, model en het serienummer. In feite zowat elk data-object kan hebben metadata.
Forensisch FOCA is geschikt voor het analyseren van de metadata van o.a. Microsoft Office 2007 en hoger, Microsoft Office 97 tot 2003, OpenOffice, PDF-documenten, EXIF-informatie in JPG-, WordPerfect, SVG-afbeeldingen, InDesign-documenten. Het is mogelijk om alle computers in het kantoornetwerk (die met printers zijn verbonden) te zien. Het geeft een goed beeld van de netwerkopbouw.
Met Forensische FOCA kun je de metadata voor elk geanalyseerd document bekijken. Er zijn twee soorten 'views' namelijk de 'file exploprer'en 'timeline'. In tijdlijnweergave worden gebeurtenissen gerlateerd aan de bestanden op datum gesorteerd. Dit maakt het mogelijk om snel de gebeurtenissen van een bepaalde actie te zien. De verschillende gebeurtenissen die bestaan zijn het aanpassen, het creëren, en afdrukken van documenten.
FOCA kan ook de versies van het besturingssysteem en applicatie-versies bepalen. Hierdoor ishet mogelijk is om te zien of de computer of gebruiker up-to-date patches gebruiken. Deze informatie is vooral van nut voor hackers, die dan bv een speer phishing-aanval kunnen uitvoeren.
Recent voorbeeld is de arrestatie van een anonieme Hacker Higinio O Ochoa III aka w0rmer (lid van CabinCr3w). Hij was zo slim geweest om een foto van zijn vriendin met een bericht te posten. De foto bevatte GPS-informatie. De GPS-informatie gaf de locatie als 37 ° 51 '25,20 "Z, 145 ° 15' 1,20" E. Dat is een voorstad van Melbourne, Australië. Met behulp van Metadata Informatie was de FBI in staat om de Hacker op te sporen!
Met Forensische FOCA kan alle verkregen informatie in XML of HTML worden geexporteerd.
Hier is de Trial versie van forensisch FOCA te downloaden.
Deze versie is wel beperkt tot 1 documenttype (Microsoft Office Word).