En esta fase, basándose en los datos conseguidos en la fase de recuperación, un administrador debe buscar quién realizó la intrusión, qué acciones emprendió, cuándo se llevó acabo y cómo lo logró.

Para ello, se deberá buscar correlaciones entre los datos adquiridos en la fase anterior, los logs de sistema y acciones realizadas desde el equipo comprometido y que estén registradas en su sistema de ficheros. Se deberá prestar especial atención a evidencias que pueden existir en localizaciones difíciles de detectar como el espacio entre particiones o sectores, el espacio no asignado y los ficheros swap.

Los problemas que nos podemos encontrar van encaminados a cómo se han conservado los datos: pueden estar cifrados y, dependiendo del software utilizado y del algoritmo de encriptación, puede ser virtualmente imposible de romper su seguridad, que tengamos que manejar excesivos ficheros de datos o que estén corruptos.

Además, deberemos buscar signos de estenografía (proceso de ocultación de datos dentro de otros datos de un fichero) como la instalación de herramientas para aplicar estas técnicas y buscar posible información oculta en ficheros.

Para poder reproducir los pasos del ataque, una buena estrategia suele ser disponer de una máquina virtual con el mismo sistema que el equipo comprometido. Esta técnica puede ayudarnos a comprender determinadas evidencias y ayudarnos en la conclusión.