Dane z dysków, na których zainstalowany był system operacyjny, w praktyce można wydobyć na dwa sposoby. Pierwszy to tradycyjne podejście z narzędziami typu X-Ways, IEF Magnet, FTK i duża grupa darmowego oprogramowania. Zasada działania tych programów jest podobna do silników antywirusowych, czyli zwykłe poszukiwanie sygnatur i nagłówków znanych typów. Są to bardzo przydatne narzędzia, ale działają na zasadzie kombajnu - orzą równo, bezmyślnie i pozostawiają sporo pytań. Ich zaletą jest to, iż wykonują 90% pracy, a wadą cena licencji. IEF odnajduje internetowe tożsamości pośród terabajtów danych, eksportuje pliki eml, wiadomości komunikatorów i kilka innych przydatnych informacji. Takie programy idą na "pierwszy ogień" i często na tym biegły kończy pracę.
Co zrobić jeżeli odnajdziemy tożsamość wśród danych i żadnych dowodów w postaci korespondencji ? Zachodzi podejrzenie, iż nie posiadamy pełnych danych, bo zostały rozproszone w sieci. Korespondencja pocztowa na serwerach dostawców, dane bazodanowe w chmurze, to elementy istotne, których pozbawione heurystyki kombajny nie wskażą. jeżeli dysponujemy tylko kopią binarną i nie mamy zabezpieczonego sprzętu z pomocą przychodzi virtualizacja obrazów dysków, zapisanych jako pliki Exx. Tutaj jest szczegółowy opis w jaki sposób uruchomić przy pomocy VirtualBox'a system operacyjny będący materiałem dowodowym.
Dlaczego warto podjąć dodatkową pracę:
- biegłemu nie można zarzucić manipulowania materiałami dowodowymi, ponieważ przez cały czas wyliczony hash kopi binarnej pozostanie niezmienionym (pomimo uruchomienia systemu),
- jeżeli w systemie zapisane są hasła do skrzynek pocztowych i danych zgromadzonych w chmurze to istnieje możliwość dołączenia ich do toczącego się postępowania,
- biegły ma możliwość rozpoznania systemu działającego w systemie - chodzi głównie o specjalistyczne narzędzia np. CAD'y, oprogramowanie fakturujące, kompilatory projektów programistycznych oraz oprogramowanie szyfrujące.
Aby podjąć się takiej analizy dowodów musimy znać hasło do systemu - warunek konieczny ponieważ usuwanie haseł może wymagać zmian w obrazie kopi binarnej, a tego robić nie wolno bo wyliczona suma kontrolna ulegnie zmianie co skompromituje dowód.
