Por onde começar uma investigação? 
O que procurar em um sistema operacional? E onde procurar? 
Não basta estar certo, é preciso provar!  Com este livro você aprenderá:  Os quatro procedimentos básicos de uma investigação: identificação, preservação, análise e apresentação das evidências.  Como criar um kit com ferramentas confiáveis.  dentificar quais processos estão em execução e quais portas estão abertas no sistema operacional, analisar arquivos de logs, investigar o Registro do Windows, compartilhamentos, tarefas agendadas etc. Descobrir quem são os usuários que utilizam ou utilizaram o equipamento. 
Recuperar arquivos excluídos, investigar arquivos na lixeira, descobrir arquivos temporários, ocultos, impressos e usados recentemente. Identificar quais sites foram acessados pelo suspeito, descobrir os arquivos temporários da Internet, analisar o histórico e os itens favoritos do browser. Investigar e rastrear e-mails. Identificar a origem dos ataques.