Jednym z elementów procesu zabezpieczania cyber dowodów w sprawach, w których zachodzi podejrzenie przestępstwa, jest wyliczanie sum kontrolnych z nośników elektronicznej informacji. Jednokierunkowe funkcje skrótu (MD5, SHA lub inne) gwarantują, że dowód jest częścią prowadzonej sprawy i nie został zmodyfikowany w procesie sądowym. Jeśli w sprawie zostały zabezpieczone wyłącznie kopie binarne nośników, badający pracuje wyłącznie na kopi takiej kopi ;-)
Dane z dysków, na których zainstalowany był system operacyjny, w praktyce można wydobyć na dwa sposoby. Pierwszy to tradycyjne podejście z narzędziami typu X-Ways, IEF Magnet, FTK i duża grupa darmowego oprogramowania. Zasada działania tych programów jest podobna do silników antywirusowych, czyli zwykłe poszukiwanie sygnatur i nagłówków znanych typów. Są to bardzo przydatne narzędzia, ale działają na zasadzie kombajnu - orzą równo, bezmyślnie i pozostawiają sporo pytań. Ich zaletą jest to, że wykonują 90% pracy, a wadą cena licencji. IEF odnajduje internetowe tożsamości pośród terabajtów danych, eksportuje pliki eml, wiadomości komunikatorów i kilka innych przydatnych informacji. Takie programy idą na "pierwszy ogień" i często na tym biegły kończy pracę.
Co zrobić jeśli odnajdziemy tożsamość wśród danych i żadnych dowodów w postaci korespondencji ?