Disclaimer: questa è la mia comprensione da parte dei laici. Non sono coinvolto o educato in qualcosa di simile. Considera la mia risposta in qualche modo inaffidabile. Non ho conoscenza o formazione legale.
Questo è un software forense abbastanza basilare, che ha un sacco di sovrapposizioni con il reverse engineering del software per quanto riguarda il set di competenze tecniche.
Non è sufficiente per uno identificare le prove. Si deve testimoniare in tribunale che durante la ricerca di prove, non si infrange nessuna legge (inclusi contratti, diritti d'autore, ecc. O qualsiasi cosa vietata dalla legge). Altrimenti la prova potrebbe non essere utilizzata in una causa.
Di conseguenza, tale lavoro deve essere svolto con la supervisione di esperti legali, ecc. Ma il lavoro in quell'ambiente sarebbe simile al reverse engineering del software standard. (Vedi disclaimer sopra. Questa è solo la mia immaginazione e dalla mia lettura di articoli popolari che descrivono lo stesso.)
Per quanto riguarda le tecniche pratiche, si noti che molti software contengono costanti, stringhe letterali (stringhe codificate), ecc., che consentono una rapida scansione indiscriminata per potenziali obiettivi. In genere, questa "scansione" deve essere eseguita da un'altra terza parte - non dalla stessa entità commerciale che eseguirà l'analisi dettagliata - al fine di rispettare la legge. L'accuratezza di questa ricerca potenziale potrebbe essere bassa, in quanto è stata spesso segnalata pubblicamente che si verificano falsi positivi e occasionalmente il software legale viene temporaneamente disattivato. (I rapporti su quest'ultimo possono essere consultati online, il precedente punto di vista su "bassa precisione" è opinione personale e non è dimostrato).
Dopo che gli obiettivi iniziali sono stati trovati e il lavoro è stato trasferito a un team forensics di software appropriato, il team avrebbe semplicemente eseguito il reverse-engineer dei binari per ricreare struttura, sequenza, organizzazione del software compilato. In senso superficiale, il codice compilato non assomiglia direttamente al codice sorgente, ma il software forense può identificare molte prove che possono portare un giudice a concludere che è altamente improbabile che il binario sia non prodotto diverso da compilando dal codice sorgente presumibilmente violato.