Primero se debe de crear un proyecto; para ello, se accede al menú project y se pulsa en new project.

Se irá rellenando la información relativa al objetivo de la auditoría. Tras haberse rellenado dicha información, hay que pulsar en el botón create.

En el caso de este ejemplo, se ha elegido el dominio de hackthissite.org. Se deben seleccionar todos los motores de búsqueda disponibles y todos los formatos de ficheros para que FOCA lo localice en el dominio del objetivo. Tras haberlos seleccionado, se pulsa en el botón Search All.

Además, la sección Network permite utilizar búsquedas con el motor seleccionado para encontrar más información sobre el objetivo (hosts, subdominios, dominios alternativos, servidores con algún tipo de función específica, además de ficheros que pudiesen contener metadatos).

Una vez finalizado el proceso, habrá listado los dominios y subdominios, además de las posibles funciones que estén realizando los posibles clientes/servidores.

En la sección Documents, se pueden observar los ficheros que se han podido localizar en el dominio del objetivo. Dichos ficheros pueden descargarse para analizar sus metadatos a posteriori.

Para realizar la descarga de algún fichero que haya encontrado FOCA, se debe pulsar con el botón derecho y después con el izquierdo en la casilla Download.

Tras finalizar la descarga, puede procederse al análisis de sus metadatos. Para ello se debe de pulsar con el botón derecho y con el botón izquierdo pulsar en Extract Metadata.

Hasta el momento, con el uso de solo dos herramientas se han podido obtener datos sensibles como nombre de usuario, aplicaciones en uso del equipo del usuario, aplicaciones en uso del servicio web. Y, además, ha sido de modo pasivo, ya que por el momento hemos estado usando lo que dejan expuesto a los motores de búsqueda.