Introduzione
3 computer sono stati sigillati e prelevati da un appartamento per persone. Gli investigatori lo hanno invitato a disfare i PC, erano intatti e hanno iniziato il processo di clonazione, tuttavia gli hash sono stati appena fotografati da un esperto senza metterli in un documento e consegnarli a chi è stato indagato, dicendo che lo inviteranno il giorno dopo per finire le pratiche burocratiche, ma dopo 4 giorni, non è ancora stato invitato, il che significa che tutti i dispositivi sono rimasti non sigillati in tutti questi giorni.
Tutti i dischi rigidi sono stati clonati utilizzando un dispositivo di blocco della scrittura, come questo .
Il software che è stato / è usato nelle indagini è FTK se non sbaglio.
Domanda
In che modo gli investigatori possono provare che i dati su tutti i dischi rigidi non sono stati modificati durante questi 4 giorni, quando i dispositivi sono stati aperti e hanno avuto pieno accesso a questi senza il consenso della persona indagata?