Semplicemente accendere la macchina può già alterare / distruggere i dati che possono essere una prova potenziale, per non parlare dell'avvio del sistema operativo originale.
La soluzione migliore è rimuovere il disco rigido, collegarlo a un altro computer tramite un blocco di scrittura hardware e quindi afferrare un'immagine completa di esso con dd
o qualche equivalente. Il blocco di scrittura è necessario per impedire la scrittura accidentale sul dispositivo che potrebbe alterare le prove potenziali (sebbene un'installazione di base di Linux che non monta automaticamente le unità non eseguirà alcuna scrittura autonomamente, Mac OS e Windows lo faranno sicuramente).
Se non è possibile, allora devi seguire il percorso del Live-CD forense, ma dal momento che è necessario avviare il computer potresti già attivare un codice incorporato nel firmware progettato per alterare / distruggere potenziali prove (difficile ma non impossibile da fare , dipende dal tipo di criminale che stai cercando).
Si noti che alla fine, non importa quale sistema operativo è stato installato sul computer poiché non si dovrebbe comunque avviare il sistema operativo, e una copia bit-by-bit non si preoccupa dei dati o persino del filesystem è sull'unità (puoi copiare unità crittografate, ma questo non ti aiuterà molto se non hai la chiave dato che la copia è ancora crittografata).